Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hassan
Página 1
Secuestro de datos
Revelado
Una guía para principiantes para proteger y
Recuperándose de los ataques de ransomware
-
Nihad A. Hassan
Página 2
https://translate.googleusercontent.com/translate_f 1/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Ransomware revelado
Una guía para principiantes
Protección y recuperación de
Ataques de ransomware
Nihad A. Hassan
Página 3
Nihad A. Hassan
Nueva York, Estados Unidos
Los nombres de marca registrada, logotipos e imágenes pueden aparecer en este libro. En lugar de usar un símbolo de marca registrada con
cada vez que aparece un nombre, logotipo o imagen de marca registrada, usamos los nombres, logotipos e imágenes solo en un
moda editorial y en beneficio del propietario de la marca, sin intención de infringir
marca comercial.
El uso en esta publicación de nombres comerciales, marcas comerciales, marcas de servicio y términos similares, incluso si no son
identificado como tal, no debe tomarse como una expresión de opinión sobre si están o no sujetos a
derechos de propiedad.
Si bien los consejos e información en este libro se consideran verdaderos y precisos en la fecha de publicación,
ni los autores ni los editores ni el editor pueden aceptar ninguna responsabilidad legal por cualquier error o
omisiones que se pueden hacer. El editor no ofrece ninguna garantía, expresa o implícita, con respecto a la
material contenido en este documento.
https://translate.googleusercontent.com/translate_f 2/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Editor de adquisiciones: Susan McDermott
Editora de desarrollo: Laura Berendson
Editora Coordinadora: Rita Fernando
Distribuido al comercio mundial de libros por Springer Science + Business Media New York, 233 Spring Street,
6to piso, Nueva York, NY 10013. Teléfono 1-800-SPRINGER, fax (201) 348-4505, correo electrónico orders-ny @ springer-sbm.
com, o visite www.springeronline.com. Apress Media, LLC es una LLC de California y el único miembro
(propietario) es Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc es un
Corporación de Delaware .
Para obtener información sobre las traducciones, envíe un correo electrónico a rights@apress.com o visite www.apress.com/
derechos-permisos.
Los títulos de Apress se pueden comprar a granel para uso académico, corporativo o promocional. versiones de libros electrónicos y
Las licencias también están disponibles para la mayoría de los títulos. Para obtener más información, consulte nuestras ventas a granel impresas y de libros electrónicos
página web en www.apress.com/bulk-sales.
Cualquier código fuente u otro material complementario al que haga referencia el autor en este libro está disponible para
lectores en GitHub a través de la página de productos del libro, ubicada en www.apress.com/9781484242544. Para más
información detallada, visite www.apress.com/source-code.
Página 4
—Nihad A. Hassan
https://translate.googleusercontent.com/translate_f 3/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 5
Tabla de contenido
Sobre el Autor ............................................... .................................................. .... xi
Página 6
TABLA DE CONTENIDO
https://translate.googleusercontent.com/translate_f 4/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
vi
Página 7
TABLA DE CONTENIDO
https://translate.googleusercontent.com/translate_f 5/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Copia de seguridad de terceros .............................................. .................................................. ................ 96
Habilite la función de instantáneas en Windows ........................................... ........................... 96
vii
Página 8
TABLA DE CONTENIDO
viii
https://translate.googleusercontent.com/translate_f 6/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 9
TABLA DE CONTENIDO
Materiales de referencia oficiales para desarrollar un programa de capacitación de sensibilización sobre seguridad ............... 162
ix
Página 10
TABLA DE CONTENIDO
Página 11
Sobre el Autor
Nihad A. Hassan es una seguridad de la información independiente
consultor, forense digital y experto en ciberseguridad, en línea
blogger y autor de libros. Ha estado conduciendo activamente
investigación en diferentes áreas de seguridad de la información para más
de una década y ha desarrollado numerosas ciberseguridad
Cursos de educación y guías técnicas. Ha completado
varios trabajos de consultoría de seguridad técnica que involucran
arquitecturas de seguridad, pruebas de penetración, delitos informáticos
investigación e inteligencia cibernética de código abierto (OSINT). Nihad es autor de seis
libros y decenas de artículos de seguridad de la información para diversas publicaciones mundiales. Él
también disfruta de estar involucrado en capacitación en seguridad, educación y motivación. Su corriente
el trabajo se enfoca en forense digital, técnicas antiforenses, privacidad digital y cibernética
OSINT. Cubre diferentes temas de seguridad de la información y asuntos relacionados en su
blog de seguridad en www.DarknessGate.com y recientemente lanzó un sitio dedicado para abrir
fuente de recursos de inteligencia en www.OSINT.link. Nihad tiene una licenciatura en ciencias
Licenciado en Informática por la Universidad de Greenwich en el Reino Unido.
Puedes seguir a Nihad en Twitter (@DarknessGate), y puedes conectarte a él a través de
LinkedIn en https://www.linkedin.com/in/darknessgate.
https://translate.googleusercontent.com/translate_f 8/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
xi
Pagina 12
xiii
Página 13
https://translate.googleusercontent.com/translate_f 9/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Expresiones de gratitud
Comienzo agradeciendo a Dios por darme el regalo de escribir y convertir mis ideas en
algo útil. Sin la bendición de Dios, no podría lograr nada.
Quiero agradecer a las damas de Apress: Susan, Rita y Laura. Me complació trabajar
con usted nuevamente y agradezco mucho sus valiosos comentarios y aliento.
También quiero agradecer a todo el personal de Apress que trabajó detrás de escena para hacer esto
libro posible y listo para su lanzamiento. Espero que continúes tu excelente trabajo en
creando libros de computación altamente valorados. Su trabajo es muy apreciado.
xv
Página 14
Introducción
El ransomware es una categoría de software malicioso que impide que los usuarios accedan a sus
calcular los recursos del dispositivo y / o los datos personales, generalmente cifrándolos. Los datos sobre
el dispositivo informático de la víctima es tomado como rehén hasta que la víctima paga un rescate para retirar
La restricción.
Los ataques de ransomware están aumentando y ahora se consideran los más frecuentes
amenazas de ciberseguridad que afectan a las empresas hoy en día: la cantidad de nuevos ransomware
variantes ha crecido 30 veces desde 2015 y actualmente representa aproximadamente el 40 por ciento de
Todos los mensajes de spam. Los ataques aumentaron de uno a 40 segundos a
uno cada 14 segundos. Los individuos, el gobierno y las corporaciones privadas son objetivos.
A pesar de los controles de seguridad establecidos por las organizaciones para proteger sus activos digitales,
https://translate.googleusercontent.com/translate_f 10/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
el ransomware sigue dominando el mundo de la seguridad y continuará haciéndolo en el
futuro.
Este libro le enseñará prácticamente cómo defenderse contra este tipo de amenaza. Vas a
aprende lo siguiente y más:
• Aprenda sobre los vectores de ataque empleados por ransomware para infectar
sistemas informáticos
xvii
Página 15
INTRODUCCIÓN
Público objetivo
Las siguientes personas se beneficiarán de este libro:
• profesionales de TI
• administradores de red
Este libro también resultará útil para cualquier persona con conocimiento de TI adecuado que desee
saber cómo mitigar y responder a los ataques de ransomware.
Resumen de contenidos
Aquí hay una breve descripción del contenido de cada capítulo:
https://translate.googleusercontent.com/translate_f 11/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Secuestro de datos; Sin embargo, hay más vectores de ataque que ransomware
los autores usan para infiltrarse en sus objetivos.
xviii
Página 16
INTRODUCCIÓN
xix
Página 17
INTRODUCCIÓN
https://translate.googleusercontent.com/translate_f 12/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
para minimizar el daño del ransomware y recuperar las operaciones normales
con rapidez.
Comentarios y preguntas
Para comentar o hacer preguntas técnicas sobre este libro, envíe un correo electrónico al autor a nihad @
protonmail.com. Para referencias adicionales sobre el tema, herramientas de seguridad informática,
tutoriales y otros asuntos relacionados, consulte el blog del autor en www.DarknessGate.
com y el portal dedicado del autor para recursos de inteligencia de código abierto (OSINT) en
www.OSINT.link.
xx
Página 18
PARTE I
Introducción a
Amenazas de ransomware
https://translate.googleusercontent.com/translate_f 13/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 19
CAPÍTULO 1
https://translate.googleusercontent.com/translate_f 14/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
3
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_1
Página 20
Presupuestos disponibles solo en formato digital. Este cambio a la era de la información significa un
Un ataque de ransomware exitoso contra un sistema desprotegido puede tener consecuencias catastróficas.
Consecuencias.
El ransomware es un problema cada vez mayor que afecta a las personas, el sector público,
empresas y pequeñas y medianas empresas (PYMES). Los acontecimientos recientes se han centrado en
foco intenso en incidentes de ransomware, y se espera que las amenazas de ransomware
empeorar en los años venideros. Cybersecurity Ventures 1 predice que un ataque de ransomware
llegará a un negocio cada 14 segundos para fines de 2019. Los costos estimados de daños de
Los ataques de ransomware alcanzarán los $ 11.5 mil millones anuales en el mismo período. Estos números
no son nada en comparación con la predicción ofrecida por Cisco Systems, que indica que
Los ataques de ransomware están creciendo más del 350 por ciento anual. 2
Este capítulo cubre la aparición de ransomware y habla brevemente sobre su historia,
tipos y lo que lo diferencia de otros tipos de malware. El ransomware es un tipo de malware,
así que también exploraremos tipos de malware, componentes y cómo el ransomware logra su
persistencia en las máquinas víctimas. Comenzaré con una breve historia de ataques de ransomware y cómo
evolucionaron con el tiempo para convertirse en el tipo de ciberataque más amenazador que existe.
44
Página 21
apartado de correos. El ransomware troyano del SIDA no era sofisticado y usaba un simple
algoritmo de cifrado simétrico para cifrar los archivos de la máquina víctima que fue
relativamente fácil de superar Sin embargo, trajo graves daños a diferentes investigaciones.
Centros alrededor del mundo.
El siguiente paso importante en la evolución del ransomware fue en 1996 cuando dos investigadores
escribió un documento presentado en la Conferencia de Seguridad y Privacidad de IEEE (1996). Este papel
sugirió un programa de prueba de concepto que utilizó encriptación de clave pública para crear
https://translate.googleusercontent.com/translate_f 15/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
código malicioso para extorsionar dinero de las computadoras de las víctimas afectadas con este tipo de
malware El documento sugirió los términos extorsión criptoviral y criptovirología para
nombra este tipo de ciberataque.
55
Página 22
https://translate.googleusercontent.com/translate_f 16/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 1-1. Esta infección de ransomware pretende ser de una aplicación de la ley
autoridad.
66
Página 23
¡Nota! algunas variantes de ransomware como Doxware amenazan con liberar a sus víctimas
datos personales (p. ej., fotos, videos, información confidencial, conversaciones de chat,
y secretos comerciales) al público si se niegan a pagar el rescate. otra variante de
el ransomware Doxware se llama tiempo de palomitas de maíz, lo que le da a su víctima la opción
para pagar el rescate o infectar a dos de sus amigos con él.
2016 fue notable por la cantidad de nuevas familias de ransomware introducidas. los
el número de familias de ransomware descubiertas en 2016 fue de 247, un aumento del 752 por ciento
sobre 2015.4 4
2017 fue nominado por muchos expertos en seguridad como el año dorado del ransomware.
El ataque más notable fue el ransomware WannaCry / WCry. Este malware tiene
extendido por todo el mundo, su nota de rescate admite 27 idiomas y tiene la capacidad
para propagarse a través de redes conectadas para infectar servidores y sistemas conectados.
Según Cybersecurity Ventures, los ataques de ransomware le cuestan al mundo $ 5 mil millones en
solo este año5 con $ 4 mil millones causados solo por WannaCry!6 6
https://translate.googleusercontent.com/translate_f 17/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 24
El gran aumento en el daño del ransomware en 2017 fue causado principalmente después de
el grupo de hackers Shadow Broker lanzó el repositorio de piratería filtrado por la NSA
herramientas que contienen, entre otras herramientas, exploits secretos que permiten a los perpetradores
para explotar vulnerabilidades en PC y servidores con Windows además de virtual privado
redes (VPN) y sistemas de firewall. Básicamente, se utilizaron las herramientas filtradas por la NSA
por grupos criminales para difundir ransomware a nivel mundial utilizando vulnerabilidades sin parches
en el sistema operativo Windows.
2018 fue testigo de una disminución en los ataques de ransomware. Según informes publicados
por Kaspersky's 7 y Malwarebytes,8 infección ransomware cayó 30 por ciento en todo el mundo.
Aunque estas cifras son de alguna manera alentadoras, las estadísticas muestran que mientras
el volumen del ransomware disminuyó en 2018, se volvió más sofisticado y muchos más
Las variantes vienen con una capacidad de autopropagación. Aunque es difícil prever el
futuro de la ciberseguridad exactamente, Cybersecurity Ventures predice que los daños por cibercrimen
alcanzará los $ 6 billones para 2021; el mismo estudio predice que un ataque de ransomware golpeará
un negocio cada 11 segundos para 2021, y el daño estimado causado por ransomware
le costará al mundo $ 20 mil millones en 2021.9 9
Página 25
Ahora que tiene una comprensión justa de la historia del ransomware y de cómo
evolucionado hasta nuestros días, hablaré brevemente sobre el concepto de malware informático, en
en general, para que pueda comprender mejor el papel del ransomware en esta cadena.
https://translate.googleusercontent.com/translate_f 18/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Malware informático
Malware , abreviatura de "software malicioso", es un término general utilizado para describir todos los tipos
de programas de software que pueden provocar daños o robar datos de la informática de destino
dispositivo. La mayoría de los tipos de malware deben ser ejecutados (activados) por el usuario para ejecutar su
código malicioso y propagación a otras computadoras y redes. El malware puede propagarse
manualmente (físicamente) utilizando disquetes, CD / DVD y memorias USB y otros extraíbles
medios, o se pueden entregar a través de la Web (por ejemplo, archivos adjuntos de correo electrónico, pirateados
software, programas gratuitos de Internet y redes sociales). Pueden golpear diferentes tipos de SO
(Windows, Linux, Unix, Android, iOS y Mac). Hay diferentes clases de malware,
y dentro de cada clase, hay varios subtipos. En las próximas secciones, daré
Una descripción general de alto nivel de algunos tipos de malware.
Tipos de malware
En esta sección, clasificaré los tipos de malware más conocidos según el tipo de
daño causado por cada uno.
Virus
Este es el término más clásico y antiguo utilizado para describir la computadora maliciosa
software. La intención principal de un virus informático es causar daños a la víctima.
archivos del sistema operativo, lo que hace que el sistema sea inestable y obliga al usuario a formatearlo
para devolverlo a su estado original.
99
Page 26
Gusanos
El gusano Morris, o gusano de Internet, fue uno de los primeros en ser visto en la naturaleza. En
Noviembre de 1988, se distribuyó a través de Internet y causó daños significativos a
Los sistemas infectados. Este es otro tipo de ataque de la vieja escuela que todavía se usa ampliamente
para propagar código malicioso en las redes. Originalmente, el objetivo de los gusanos no era
destruir o comprometer el sistema operativo como virus informáticos; en cambio, un gusano trabaja para propagarse
de una máquina a otra a través de redes internas o Internet sin usuario
intervención. Los gusanos modernos también pueden transportar otro malware, como ransomware, a
Dañar una computadora host.
Los gusanos generalmente atacan a los clientes de correo electrónico en la máquina víctima (por ejemplo, Microsoft
Outlook o Thunderbird) y copiarse a todos los contactos en la libreta de direcciones
para distribuir aún más su infección a nuevas ubicaciones. Los gusanos también pueden propagarse por
explotando vulnerabilidades en protocolos de red. Los gusanos pueden hacer que las computadoras funcionen
lentamente porque pueden consumir su espacio en disco y ancho de banda de Internet. Gusano
las propagaciones pueden causar una gran pérdida de ingresos para las empresas cuando se distribuyen dentro de un
Intranet de la empresa.
Secuestro de datos
El ransomware es un tipo de malware que niega el acceso a los archivos del usuario, a veces encriptando
todo el disco duro e incluso todos los discos duros externos y recursos compartidos de red conectados,
después de lo cual exige un rescate del usuario para recuperar el acceso al sistema y almacenado
información. Todo este libro trata sobre este tipo de amenaza.
Criptojacking
Este es un fragmento de código, generalmente escrito en JavaScript, que infecta una computadora en silencio cuando
https://translate.googleusercontent.com/translate_f 19/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
la víctima hace clic en un enlace malicioso en un correo electrónico o visita un sitio web comprometido infectado
con este malware Gran parte del malware de criptojacking se instala a través de kits de exploits como RIG
kits de exploits para Flash, Java, Silverlight e Internet Explorer. Después de ejecutar el malware,
el código malicioso comienza a funcionar en segundo plano para extraer criptomonedas y luego
transferir los fondos generados a los delincuentes que lo respaldan. El criptojacking usa lo mismo
tácticas empleadas por ransomware para infectar sistemas.
10
Página 27
Esta es una aplicación web maliciosa alojada en un sitio web comprometido y utilizada
para analizar automáticamente las vulnerabilidades en la máquina víctima al acceder a
sitio web comprometido para obtener acceso no autorizado e instalar malware. Tu
Aprenda más sobre los kits de exploits en el Capítulo 2.
Scareware
Scareware, también conocido como software de engaño o fraude , es una forma de malware que
usa tácticas de ingeniería social para causar conmoción, ansiedad o la percepción de una amenaza en
para convencer a los usuarios de que compren software no deseado. Scareware pertenece a lo digital
Categoría de extorsión de código malicioso, similar al ransomware. Por ejemplo, scareware puede
venir en forma de un mensaje emergente que aparece como una advertencia legítima de un importante
vendedor de antivirus. El mensaje de advertencia amenazará al usuario de que la computadora está infectada
con un virus y deben comprar un software antivirus, que es falso, para limpiar el
infección. La idea es engañar al usuario para que compre algo innecesariamente para
tomar el dinero del usuario.
Adware
El adware (abreviatura de "software respaldado por publicidad") entrega anuncios a la víctima
máquina sin consentimiento. Muchos creadores de software usan adware para generar ingresos de
sus programas informáticos y aplicaciones móviles de distribución gratuita. Adware incluido con gratis
los programas y aplicaciones se consideran legales siempre que declare su función (por ejemplo, mostrar
anuncios) claramente en la descripción del software o el acuerdo de licencia; sin embargo,
el problema surge cuando el adware viene incluido con otro programa malicioso
llamado spyware que puede registrar y rastrear las actividades en línea de un usuario además de robar
información confidencial como nombres de usuario y contraseñas.
Spyware
El spyware es un tipo de software de seguimiento similar al adware, pero se usa únicamente para programas maliciosos
intención. El spyware puede monitorear todo lo que escribe en su teclado y enviarlo a su
operador. Algunos tipos instalan otro malware (como ransomware) en la máquina de destino para
facilitar la realización de otras acciones maliciosas
11
Página 28
https://translate.googleusercontent.com/translate_f 20/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Caballos de Troya
Este es otro tipo de software malicioso que se instala silenciosamente en la máquina víctima. UN
El troyano generalmente viene incluido con un archivo normal o un programa de Internet para engañar a los usuarios
descargándolo e instalándolo. Un troyano permite a su operador tener control total sobre el
dispositivo informático infectado, incluida la cámara, el micrófono y cualquier cosa que escriba
tu teclado Un troyano también puede instalar malware adicional y / o conectar a los infectados
computadora a una red botnet.
Puertas traseras
La funcionalidad de puerta trasera existe dentro de muchos tipos de malware; en términos simples, una puerta trasera
es un código malicioso que abre un puerto en la máquina víctima para permitir que el hacker (ya sea
humano o sistema / bot) obtienen acceso no autorizado para realizar sus acciones maliciosas. Como
mencionado, la puerta trasera está incorporada en muchos tipos de malware, como
acceder a troyanos y rootkits. Tenga en cuenta que las puertas traseras también pueden venir en forma de
hardware integrado en la CPU, discos duros, dispositivos periféricos o redes
equipo.
Descargadores
Este es un tipo de malware que descarga otro malware. Un descargador contendrá
dentro de su código, una URL para descargar el otro malware después de la ejecución. Nemucod, que
es un descargador de troyanos, se utilizó para descargar ransomware como TeslaCrypt o Locky
en máquinas víctimas.
Rootkits
Un rootkit es un tipo peligroso de malware; tiene la capacidad de obtener acceso completo
(acceso administrativo) sobre el sistema y tiene la capacidad de evitar la detección normal
programas (antivirus y antirootkit) al notar su presencia. Algunos
ataque de rootkits peligrosos a nivel de hardware (rootkits de firmware), y la eliminación puede
requieren reemplazo de hardware o intervención especializada.
12
Página 29
https://translate.googleusercontent.com/translate_f 21/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Herramientas de pirateo : estos son programas simples que se utilizan para recuperar contraseñas
desde navegadores y otras aplicaciones instaladas y puede ser
incorporado en otro malware con fines maliciosos como
Mimikatz, que viene asociado con el ransomware WannaCry
y se usa en muchos ataques dirigidos del ransomware SamSam.
¡Nota! mimkatz es una herramienta de piratería que se utiliza para extraer contraseñas de texto sin formato, hashes, pin
códigos y tickets Kerberos de ram. Está disponible en https://github.com/
gentilkiwi / mimikatz.
13
Página 30
Componentes de malware
En general, el malware se compone de las siguientes partes:
• Agregar una máquina víctima a una red botnet para usarla más tarde para
lanzar ataques DDoS.
• Bloquear el acceso a los archivos de las víctimas y mantenerlos como rehenes durante
rescate.
https://translate.googleusercontent.com/translate_f 22/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
14
Page 31
• abrir un archivo ejecutable (por ejemplo, desde archivos adjuntos de correo electrónico).
• abrir algunos tipos de archivos no ejecutables (por ejemplo, algunos autores incrustan
cargas maliciosas dentro de archivos pnG).
• Usar una bomba lógica para ejecutar automáticamente el código malicioso una vez que algunos
Se cumplen las condiciones. Por ejemplo, para evitar sospechas, un empleado descontento
puede indicar al malware que comience a ejecutarse después de abandonar la empresa objetivo.
• Carpetas de inicio
• servicios de Windows
• Programar tareas
• carpetas temporales
• Secuestro de accesos directos (cambio del atributo Target del acceso directo
íconos, forzándolo a descargar malware de sitios web maliciosos
al iniciar el programa normal), como se muestra en la Figura 1-2
15
Página 32
https://translate.googleusercontent.com/translate_f 23/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
dieciséis
Page 33
• Uso de malware sin archivos, como el uso de herramientas integradas de Windows (por ejemplo,
Instrumentación de administración de Windows y PowerShell)
ejecutar código malicioso La detección de malware sin archivos es extremadamente
difícil usar técnicas de escaneo tradicionales como la firma
métodos basados o sandboxing. El ransomware Sorebrect utiliza
Esta técnica de evasión para evitar las soluciones de seguridad.
• Cambiar la extensión del archivo. Este es un viejo truco pero todavía se usa
(p. ej., someFile.pdf.exe).
https://translate.googleusercontent.com/translate_f 24/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
descargando una nueva versión del malware instalado o distribuyendo
la clave de cifrado / descifrado en caso de ataque de ransomware) para
malware que reside en máquinas comprometidas. También es responsable
para recibir datos robados extraídos de máquinas víctimas como
contraseñas e información financiera. Algunos programas maliciosos usan la nube
servicios basados, como el correo web y los servicios de alojamiento de archivos, como C&C para
aparecer como tráfico normal para evadir la detección por soluciones de seguridad.
Tipos de ransomware
Existen principalmente dos tipos de ransomware: crypto y locker ransomware. Sin embargo,
El ransomware pertenece a la categoría de extorsión digital del delito cibernético, que también contiene
otros tipos de delitos cibernéticos que tienen como objetivo adquirir o denegar ilícitamente el acceso a datos personales en
cambio por una ganancia monetaria. En esta sección, hablo sobre los tipos de ransomware y enumero los
diferentes tipos de delitos cibernéticos que se encuentran bajo el paraguas del chantaje digital.
17
34
Los legisladores diferencian entre el chantaje digital y los términos de extorsión digital ;
por ejemplo, consideran que un delito es una extorsión digital cuando un autor bloquea
acceso a los archivos de la víctima y amenaza con destruir datos si la víctima se niega a pagar
un rescate Los delitos que entran en la categoría de chantaje digital se refieren a los delitos
que implican amenazar a las víctimas, ya sean personas o corporaciones, con la liberación
información confidencial si se niegan a cooperar.
en este libro, usaré ambos términos indistintamente, ya que algunas variantes de ransomware
puede hacer ambas acciones.10
Locker Ransomware
El ransomware Locker funciona evitando que la víctima llegue a sus archivos personales
negando el acceso a los recursos informáticos (p. ej., bloqueando el escritorio o evitando
la víctima de iniciar sesión) y luego exigir un rescate para recuperar el acceso.
En comparación con el crypto ransomware, los tipos de ransomware de casillero típicos niegan el acceso a
archivos personales utilizando técnicas relativamente simples que pueden ser superadas por cualquier técnico
usuario; Como resultado, el ransomware de taquillas se puede eliminar de los sistemas infectados sin
que afecta el sistema operativo subyacente y los archivos personales.
Crypto Ransomware
Este tipo de ransomware encripta todos los datos personales en la máquina de destino, llevándolos
rehén hasta que la víctima pague el rescate y obtenga la clave de descifrado del
agresor. Algunas variantes de crypto ransomware eliminarán progresivamente los archivos de rehenes
o liberarlos al público si la víctima no paga el rescate a tiempo. Moderno
https://translate.googleusercontent.com/translate_f 25/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
10 Itweb, “La realidad de la extorsión digital” 08 de febrero de 2019.https://www.itweb.co.za/content/
G98YdqLxaoZqX2PD
18 años
Página 35
Las familias de ransomware se basan principalmente en este tipo. Puede tener efectos devastadores,
especialmente en agencias corporativas y gubernamentales, si no existe respaldo para restaurar
operación al estado antes del ataque del ransomware. En tales casos, la entidad víctima tiene
solo una opción para recuperar los datos perdidos, que es pagar el rescate.
Después de que el crypto ransomware se instala en el sistema de destino, buscará en silencio
archivos importantes (basados en sus extensiones) y comience a encriptarlos; el ransomware
buscará archivos en el disco duro local y todas las unidades externas conectadas / red
Comparte. Después de cifrar con éxito todos los archivos de la computadora, el ransomware presentará
el usuario con una nota de rescate, que muestra un temporizador de cuenta regresiva y solicita el pago
(rescate) para recuperar el acceso a los archivos de rehenes. El cripto ransomware moderno solicita el pago
principalmente a través de la criptomoneda de Bitcoin.
La mayoría de las infecciones por crypto ransomware no dañarán el funcionamiento de la víctima
archivos del sistema y lo dejarán funcional para que el usuario pueda realizar algunas funciones básicas,
sin la capacidad de acceder a los datos de rehenes que se han cifrado.
19
Page 36
https://translate.googleusercontent.com/translate_f 26/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 1-3. Ejemplo de una alerta de scareware que finge ser de ZoneAlarm
Extorsión DDoS
Una denegación de servicio distribuida puede considerarse una especie de chantaje digital cuando
los atacantes amenazan a una entidad objetivo (por ejemplo, bancos en línea, minoristas o cualquier organización que
depende en gran medida de su presencia en línea para generar ingresos) y pedir dinero para no
apuntarlos con tal ataque. Si los cibercriminales logran extorsionar dinero usando esto
método, es probable que la entidad víctima no denuncie el delito.
20
Page 37
21
38
Figura 1-4. Diálogo de Windows 10 cuando el usuario intenta abrir un archivo con un desconocido
extensión
22
https://translate.googleusercontent.com/translate_f 28/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 39
• Una nota de rescate puede aparecer en forma de una ventana de programa que
no cubre toda la pantalla y el usuario no puede cerrarla. UN
el temporizador de cuenta regresiva está disponible dentro de esta ventana para alertar al usuario
sobre el tiempo restante antes de aumentar el rescate o perder el
datos si el usuario no paga el rescate.
• Los nombres de los archivos almacenados están codificados y tienen una extensión diferente
o ninguna extensión en absoluto.
23
Page 40
El ransomware infecta casi todos los tipos de dispositivos de TI, incluidos servidores, dispositivos móviles,
y muchos tipos de dispositivos IoT además de dispositivos de almacenamiento conectados a máquinas víctimas
como memorias USB, tarjetas SD, cámaras digitales y discos duros externos (ver Figura 1-5)
https://translate.googleusercontent.com/translate_f 29/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
La mayoría de las campañas de ransomware se dirigen a dispositivos con sistema operativo Windows y Android porque
La cuota de mercado global para los sistemas operativos está dominada por estos dos sistemas operativos, según
estadísticas recientes publicadas por StatCounter en enero de 2019 (ver Figura 1-6)
24
Page 41
Figura 1-6. Cuota de mercado del sistema operativo en todo el mundo, enero de 2018 a enero
2019 (fuente de datos: http://gs.statcounter.com/os-market-share#monthly-
201801- 201901-bar )
Sin embargo, esto no significa que los ciberdelincuentes no apunten a otros tipos de dispositivos.
Según el informe de Datto "Informe sobre el estado global del canal Ransomware 2018"
Los ataques de ransomware en Apple OS e iOS han aumentado aproximadamente un 500 por ciento en comparación
hasta 2017. 11 Sistemas heredados, especialmente equipos industriales y de atención médica, que todavía están en
operación y no puede recibir más actualizaciones (parches) también se prevé que se convierta en un
objetivo principal de los ataques de ransomware en el futuro.
https://translate.googleusercontent.com/translate_f 30/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Para concluir, el factor crucial para determinar el mejor objetivo del ransomware no es el
tipo de negocio o la naturaleza laboral de un individuo. Los ataques exitosos de ransomware dependen
sobre el tipo de tecnologías utilizadas por la víctima, el nivel de conocimiento de TI, vulnerabilidades
existente en los dispositivos informáticos de la víctima y las redes conectadas, y funcionamiento obsoleto
sistemas y aplicaciones que no pueden recibir más actualizaciones del fabricante, en
Además de la estrategia general de ciberseguridad implementada por la organización.
11 Datto, “Informe sobre el estado global del canal de Datto Ransomware 2018” 14 de febrero de 2019.
https://www.datto.com/blog/dattos-global-state-of-the-channel-ransomware-
informe-2018
25
Page 42
¡Nota! pii es cualquier información que se pueda usar sola o con otra información para
Identificar o localizar a una sola persona. incluye lo siguiente: nombre, seguridad social
número, número de pasaporte, número de identificación nacional, lugar de nacimiento, género, padre y
nombres de madres, registros biométricos o cualquier otro detalle que le pertenezca exclusivamente
y es personalmente identificable.
26
https://translate.googleusercontent.com/translate_f 31/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 43
14 HHS, “Guía para hacer que la información de salud protegida no asegurada sea inutilizable, ilegible o
Indescifrable para personas no autorizadas ”11 de febrero de 2019. https://www.hhs.gov/hipaa/
para profesionales / notificación de incumplimiento / orientación / index.html
15 Morganlewis, “El ataque cibernético contra el ransomware WannaCry plantea problemas legales” 10 de febrero de 2019.
https://www.morganlewis.com/pubs/wannacry-ransomware-cyberattack-raises-
asuntos legales
27
Page 44
Resumen
El ransomware ha demostrado ser una forma altamente efectiva de ataque cibernético que afecta a ambos
empresas y particulares. En este capítulo, di una definición de alto nivel de ransomware,
su trabajo, sus tipos y cómo es diferente de otros tipos de malware. También hablé sobre
malware informático en general y cómo el malware logra su persistencia y sigilo en
La máquina víctima. Finalmente, cubrí el requisito de notificación impuesto por las leyes en
Estados Unidos y la Unión Europea en relación con la violación de datos.
En el próximo capítulo, hablo sobre cómo el ransomware infecta los sistemas informáticos y
Introducir las etapas de un ataque de ransomware.
https://translate.googleusercontent.com/translate_f 32/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
28
Página 45
CAPITULO 2
Distribución de ransomware
Métodos
Las actividades de ransomware están aumentando año tras año, con más ataques observados en todo el
mundo. Al parecer, nadie es inmune a tales amenazas. Los autores de malware están continuamente
desarrollando nuevas y sofisticadas variantes de ransomware que puedan evadir la detección y
Emplear nuevas técnicas para infectar más sistemas.
En este capítulo, analizaré los diferentes vectores de ataque empleados por ransomware para
invadir los sistemas informáticos, dejando la discusión sobre medidas preventivas hasta el Capítulo 4 .
El ransomware utiliza las mismas técnicas utilizadas por otros tipos de malware para propagarse, por lo que
comprender las técnicas de distribución de ransomware lo ayudará a mitigar sus riesgos
antes de que invada sus sistemas.
Email
El correo electrónico es la mejor puerta de entrada utilizada por los ciberdelincuentes para difundir ransomware. Investigación
realizado por IBM en 2017 concluyó que el 59 por ciento de los ataques de ransomware provienen de
correos electrónicos de phishing, y el 91 por ciento de todo el malware se entrega a través de sistemas de correo electrónico.1
Los servicios de correo electrónico se pueden utilizar de diferentes maneras para propagar el ransomware (ver Figura 2- 1 ),
principalmente a través de correos electrónicos no deseados y de phishing, como verá a continuación.
El ransomware y otros tipos de malware pueden utilizar un servicio de correo electrónico para propagarse
disfrazándose como un archivo adjunto de correo electrónico. Cuando los usuarios inconscientes descargan y abren
https://translate.googleusercontent.com/translate_f 33/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
el archivo adjunto malicioso, ransomware infectará el sistema al instante.
Otra técnica para difundir ransomware a través de mensajes de correo electrónico es incrustar enlaces
(URL) a sitios web maliciosos, que contienen ransomware, en el cuerpo del correo electrónico. Cuando los usuarios
haga clic en dichos enlaces, son redirigidos a un sitio web malicioso que a su vez infecta su sistema.
Página 46
Figura 2-1. Cómo el ransomware infecta los sistemas mediante mensajes de correo electrónico
Los correos electrónicos utilizados con fines maliciosos se denominan correos no deseados o de phishing . Tal
Los correos electrónicos emplean tácticas de ingeniería social para convencer a los destinatarios de descargar / abrir el
adjuntos maliciosos o para visitar los sitios infectados.
Correo basura
El spam, también conocido como correo no deseado, es cualquier correo electrónico no solicitado enviado a una persona o grupo de
destinatarios a través del sistema de correo electrónico. El spam se usa comúnmente en campañas publicitarias
para promociones comerciales; sin embargo, también se puede usar para fines más peligrosos como
como difundir malware o adquirir información confidencial como credenciales de inicio de sesión
e información financiera de las víctimas. El término no solicitado significa los destinatarios
no dieron su permiso para recibir tales correos electrónicos.
Según Statista, el número estimado de correos electrónicos enviados y recibidos por día era
281 mil millones en 2018 y alcanzará 293 mil millones en 2019.2 El hecho interesante es que a partir de
Septiembre de 2018, los mensajes de spam representaron el 53.5 por ciento del tráfico de correo electrónico en todo el mundo. 3
En otras palabras, más de la mitad de todos los correos electrónicos en todo el mundo son spam. Figura 2-2 muestra un
muestra de correo electrónico no deseado para engañar a una víctima para que se comunique más.
2 Statista, "Número de correos electrónicos enviados y recibidos por día en todo el mundo desde 2017 hasta 2022 (en miles de millones)"
10 de febrero de 2019. https://www.statista.com/statistics/456500/daily-number-of-
correos electrónicos en todo el mundo /
3 Statista, https://www.statista.com/statistics/420391/spam-email-traffic-share/
10 de febrero de 2019. https://www.statista.com/statistics/420391/spam-email-traffic-share/
30
Page 47
https://translate.googleusercontent.com/translate_f 34/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 2-2. Ejemplo de correo electrónico no deseado que afirma que un destinatario tiene dinero impago y
solicitando más comunicaciones. Puedes ver claramente cómo el atacante intenta
convencer a la víctima de creer que la oferta es cierta
31
48
Existen diferentes tipos de correo no deseado que se pueden clasificar según su contenido.
• Estafas de phishing : en este tipo, los correos electrónicos no deseados se envían en masa a
un gran número de gente. Un correo electrónico de phishing (ver Figura 2-3)
pretenderá ser genuino (de una fuente confiable) usando
el mismo formato que usa la compañía legítima en su forma formal
comunicaciones además de usar una redacción inteligente para dibujar
La atención de la víctima. El phishing tiene como objetivo recopilar información sensible al usuario
información (como información de inicio de sesión, financiera y crediticia
información de la tarjeta, o incluso datos personales) engañando a una víctima
para entregar la información al atacante o para abrir un
archivo adjunto que contiene malware dentro de él.
https://translate.googleusercontent.com/translate_f 35/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Spear phishing : a diferencia de los correos electrónicos de phishing que se envían en masa,
El phishing es un ataque personalizado que se dirige a un individuo específico,
organización o corporación para robar información confidencial o para
instale malware en la computadora del usuario objetivo.
• Falsificación de correo electrónico : este es otro tipo de correo electrónico de phishing. Parodia
los correos electrónicos funcionan cambiando el encabezado del correo electrónico (el remitente y el correo electrónico
ID) para que parezca que se originó de una fuente legítima. Destinatarios
están más dispuestos a abrir / descargar archivos adjuntos de correos electrónicos
apareciendo procedente de fuentes legítimas. Similar a otros phishing
tipos, los correos electrónicos falsificados pueden contener archivos adjuntos maliciosos y contener
URL maliciosas para instalar malware en la máquina víctima.
32
Página 49
Figura 2-3. Ejemplo de correo electrónico de phishing para robar información de la cuenta de PayPal. Una vez
una víctima hace clic en el enlace "Actualizar su información", será redirigida a
sitio web falsificado que se muestra en la parte inferior izquierda
Existen otros tipos de phishing, pero todos utilizan tácticas similares para convencer al
víctima para entregar información confidencial o instalar malware sin querer.
33
Página 50
sitio web, existe una alta probabilidad de que se infecten con el malware. Atacantes
seleccionar sitios web / blogs menos seguros y más vulnerables para plantar su código malicioso
cuando se hace un ataque a un pozo de agua.
Malvertising
También conocido como publicidad maliciosa, en este tipo, los atacantes abusan de la publicidad legal
canales (por ejemplo, Google Adsense) para difundir malware a través de la inyección de código malicioso
anuncios internos y páginas web.
La mayoría de los sitios web grandes externalizan sus actividades publicitarias a un tercero de confianza.
vendedor de fiesta. Los proveedores de terceros a cambio revenderán parte del anuncio.
espacio, permitiendo que otras personas publiquen sus propios anuncios utilizando una plataforma de autoservicio.
Los delincuentes pueden abusar de este servicio para propagar malware.
En la práctica, los anuncios maliciosos pueden aparecer como una ventana emergente que atrae la atención del usuario
haga clic o se puede utilizar para descargar automáticamente cuando una víctima carga la página web
que aloja el anuncio malicioso en un navegador.
Un ejemplo de infección maligna puede funcionar de la siguiente manera:
Kits de explotación
Esta es una de las amenazas en línea de más rápido crecimiento. Los kits de explotación permiten a los cibercriminales
obtener el control total sobre la máquina víctima sin su conocimiento; todo lo que necesitan es
redirige a las víctimas al servidor malicioso que aloja el kit de exploits.
34
51
Un kit de exploit es una plataforma / marco de compromiso basado en la web que permite a los atacantes
para semiautomatizar las explotaciones mediante la evaluación / detección del sistema operativo / aplicación de la víctima
vulnerabilidades y relacionarlas con el repositorio de exploits almacenados dentro del exploit
equipo. Esto permite a los atacantes seleccionar el exploit correcto para la máquina víctima objetivo.
https://translate.googleusercontent.com/translate_f 37/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Los kits de exploits se componen de las siguientes partes (ver Figura 2-4):
1. La página de destino : Esta página contiene el código para responsables
evaluando la máquina víctima en busca de vulnerabilidades. Por ejemplo,
escanea el navegador web de la víctima y los complementos instalados para ver
si hay alguna vulnerabilidad que pueda ser explotada.
Page 52
Ahora que comprende cómo funciona un kit de exploits, necesita saber cómo las víctimas
se dirigen a la página de destino. Las víctimas pueden ser redirigidas a la página de inicio del
kit de explotación utilizando diferentes métodos. Por ejemplo, los delincuentes difunden su código malicioso
a través de anuncios (publicidad maliciosa) o mediante la inyección de la URL maliciosa en la web legítima
sitios como noticias y sitios de compras. Una vez que un usuario visita un sitio web comprometido y carga
su contenido, el usuario será redirigido silenciosamente a la página de inicio del kit de exploits,
resultando en disparar el ataque automáticamente.
Muchos grupos criminales que operan en Darknet ofrecen sus kits de exploits en alquiler.
mensualmente, surge un nuevo vector de infección en el mundo de la ciberseguridad llamado
Kit de explotación como servicio .
https://translate.googleusercontent.com/translate_f 38/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 2-4. Cómo funciona un kit de exploits y sus componentes
Los kits de exploits más conocidos actualmente en uso son Angler, RIG-v EK, Fallout EK,
Magnitud y Neutrino.
36
Page 53
Los actores maliciosos usan diferentes métodos para infectar y propagar malware a través de unidades USB.
Por ejemplo, algunos atacantes dejan caer intencionalmente unidades USB cargadas con malware en el
el estacionamiento de la organización objetivo, con la esperanza de que uno de los empleados inserte uno de los
USB infectados en su máquina de trabajo. Un ejemplo de ransomware malicioso propagado a través de
Las unidades USB son el ransomware Spora.
Un famoso ciberataque realizado a través de una unidad USB fue el gusano Stuxnet en 2010.
Este ataque resultó en la instalación de malware en una red nuclear iraní.
4 Elie, "Los usuarios realmente conectan las unidades usb que encuentran" 10 de febrero de 2019.https://elie.net/
publicación / users-really-do-plug-in-usb-drives-they-find /
https://translate.googleusercontent.com/translate_f 39/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
37
Page 54
Figura 2-5. Mensaje de advertencia de muestra emitido por Microsoft Word 2016 al
abrir un archivo con contenido macro
38
Página 55
• Plataforma como servicio (PaaS) : normalmente utilizada por los desarrolladores para
Desarrollar aplicaciones en la nube.
39
Page 56
Figura 2-6. Página de compilación DataKeeper RaaS utilizada para crear el ransomware
https://translate.googleusercontent.com/translate_f 41/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
40
57
Los atacantes pueden utilizar la fuerza bruta (explotando contraseñas débiles) y sociales
técnicas de ingeniería para adquirir credenciales de inicio de sesión RDP. Después de adquirir esto
información, el camino se abre a la computadora y la red de la víctima. Perpetradores
puede instalar cualquier tipo de malware (por ejemplo, desplegar ransomware) en la máquina de la víctima en
Además de infiltrarse en la red objetivo.
¡Nota! En un ataque de fuerza bruta, el atacante intenta todas las combinaciones posibles para encontrar
La contraseña / clave correcta.
Figura 2-7. Habilite / deshabilite RDP yendo a Configuración y luego a Sistema (Windows 10)
41
https://translate.googleusercontent.com/translate_f 42/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
58
¡Nota! Los ciberdelincuentes están vendiendo puertas traseras y cuentas de PDR comprometidas por
solo $ 10 cada uno. Este mercado es muy activo, y está creciendo, en la Dark Web.
Botnets
Ya hablé sobre botnets en el Capítulo 1; una botnet es una máquina comprometida
controlado por un servidor de comando y control (C&C) y utilizado para iniciar, con otros
miles o incluso millones de máquinas comprometidas: ataques DDoS. Por ejemplo,
las botnets pueden explotarse para desempeñar otro papel malicioso, que es la descarga
ransomware o cualquier tipo de malware de su servidor C&C para infectar la computadora que lo aloja
(ver figura 2-8)
42
Page 59
https://translate.googleusercontent.com/translate_f 43/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 2-8. Las máquinas infectadas con botnets se pueden usar para propagarse o infectar
ellos mismos con ransomware
Falta de entrenamiento
Los ataques de ciberseguridad están ocupando los titulares de los medios internacionales sin signos de desaceleración
abajo. Cada año, muchas organizaciones de alto perfil sufren violaciones de datos que resultan en
exponiendo millones de registros. Diferentes estadísticas e investigaciones encuentran que la falta de seguridad
la conciencia (y la falta de personal calificado) juega un papel clave en exponer a las organizaciones a
diferentes amenazas cibernéticas, especialmente ransomware.
43
60
La conciencia de los empleados sobre la seguridad de TI se considera la primera línea de defensa para proteger
sistemas de información. La capacitación sobre conciencia de seguridad garantiza que los empleados estén al tanto
de las diferentes técnicas de ataque que los ciberdelincuentes pueden emplear para romper
en los sistemas de la organización y que saben cómo mitigar e informar
incidencias a la persona adecuada. Por ejemplo, no importa los tipos y el número de
soluciones de seguridad (p. ej., firewall e IDS) implementadas para asegurar la organización de una organización específica
red, si un empleado inconsciente hace clic en un enlace malicioso dentro de un correo electrónico de phishing,
pondrá en peligro toda la red, haciendo que todas las medidas de protección implementadas por
organización de seguridad del equipo inútil!
En el capitulo 6, discutiremos con cierto detalle los diferentes ángulos de la ciberseguridad
entrenamiento de concientización que debe ser entendido por cualquier usuario de la computadora para defenderse
Ataques ciberneticos.
https://translate.googleusercontent.com/translate_f 44/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
ataque.
44
Página 61
• Ransomware puede detectar una máquina víctima para verificar si se está ejecutando
una computadora real o en una caja de arena o máquina virtual; En este último caso,
el ataque de ransomware puede cesar.
• La carga útil del ransomware viene encriptada, lo que hace que sea detectada por
Programas antivirus difíciles.
45
Page 62
https://translate.googleusercontent.com/translate_f 45/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Resumen
El ransomware puede propagarse utilizando diferentes métodos, principalmente mediante el uso del sistema de correo electrónico o
sitios web comprometidos que albergan kits de exploits. En este capítulo, discutí estos métodos
y dio ejemplos de cada uno. Tenga en cuenta que muchas variantes de ransomware y otras
los tipos de malware tienen capacidades de autopropagación; por lo tanto, pueden identificar e infectar a todos
computadoras conectadas a la red de la víctima.
Ahora que tiene una comprensión justa sobre la naturaleza del ransomware y
qué métodos utiliza para infectar sistemas informáticos, hablaremos sobre los más famosos
familias de ransomware y técnicas de ataque de cobertura empleadas por cada familia para
comprometer sus objetivos.
5 Prnewswire, “Nueva investigación: el antivirus tradicional no pudo proteger a casi el 40 por ciento de los usuarios
Uso de dos o más soluciones AV de todos los ataques de malware ”10 de febrero de 2019. https: // www.
prnewswire.com/news-releases/new-research-traditional-antivirus-failed-to-protect-
casi el 40 por ciento de los usuarios que usan dos o más soluciones av de todo malware
ataques-300543625.html
46
Page 63
CAPÍTULO 3
Familias de ransomware
Las cepas de ransomware más destacadas
El ransomware se puede clasificar en grupos usando diferentes criterios, por ejemplo, de acuerdo con
para su función, como si se trata de un casillero o un ransomware de cifrado. Expertos en seguridad
prefieren clasificar el ransomware en familias de acuerdo con su firma de código, que
contiene la secuencia de comandos e instrucciones responsables de la maliciosa
acción. Para este capítulo, mencionaré las familias de ransomware más prominentes y
https://translate.googleusercontent.com/translate_f 46/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sus variantes populares según su fecha de lanzamiento y hablan un poco sobre cada una;
más adelante en el libro, daré utilidades de descifrado para cada familia donde estén disponibles.
Ryuk
Ryuk es un cripto ransomware especializado en ataques dirigidos contra empresas que
puede pagar su rescate relativamente grande de Bitcoin (15 BTC a 50 BTC). Primero apareciendo en
Agosto de 2018, Ryuk se conecta al grupo de piratería APT Lazarus, que está asociado
con el ejercito norcoreano. Después de disimilar su código fuente, los investigadores de seguridad
en Checkpoint descubrió que Ryuk comparte muchas similitudes con el ransomware Hermes
presion1 (ambos usan una rutina de cifrado similar) que se descubrió por primera vez en febrero de 2017
y que utiliza campañas de spam y kits de explotación para infectar a sus víctimas.
47
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_3
Página 64
En dos meses después de su lanzamiento inicial, Ryuk había adquirido $ 640,000 de rescate de
empresas de todo el mundo; después de cinco meses, el número había aumentado a $ 3.7
millones en Bitcoin.2 Los autores detrás de Ryuk usan una dirección única de Bitcoin para cada
víctima y dividir el dinero del rescate recibido entre diferentes cuentas de Bitcoin antes
lavar el dinero usando diferentes servicios de lavado de Bitcoin para hacer el seguimiento del
Rescate de dinero casi imposible por la policía.
Ryuk se usa principalmente para ataques a medida, donde los atacantes necesitan recolectar técnicas
información sobre la infraestructura de TI de destino antes de lanzar su ataque de ransomware.
A diferencia de la mayoría de las cepas de ransomware, Ryuk necesita privilegios de administrador para ejecutarse en el objetivo
computadora. Muchos ataques reportados que utilizan este ransomware han funcionado explotando el
Protocolo de escritorio remoto (RDP) insuficientemente protegido o por spear phishing para ganar
entrada en una red empresarial. Ryuk puede propagarse a través de la red infectada para
infectar todas las máquinas conectadas, como computadoras, centros de datos, unidades de red y
otros dispositivos de almacenamiento
Ryuk tiene dos versiones para sistemas de 32 y 64 bits, y utiliza AES-256 y RSA-
4096 para cifrar archivos de víctimas. Una vez ejecutado en la computadora de la víctima, eliminará todo
Windows Shadow Copy, lo que hace imposible la recuperación de archivos con dispositivos externos
Copia de seguridad limpia. Ryuk lanza diferentes versiones de una nota de rescate (ver Figura 3-1 ) en el
el escritorio de la víctima y todas las demás carpetas donde se cifran los datos.
https://translate.googleusercontent.com/translate_f 47/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
2 Thenextweb, "El ransomware Ryuk le gana a los hackers $ 3.7M en Bitcoin durante 5 meses" 28 de julio de 2019
https://thenextweb.com/hardfork/2019/01/14/ryuk-bitcoin-ransomware
48
Página 65
Ryuk sigue siendo una amenaza activa a partir de este escrito; de acuerdo con la Oficina Federal
de Investigación (FBI), Ryuk lanzó con éxito más de 100 ataques contra
Empresas estadounidenses que operan en diferentes industrias, como logística, tecnología y
asistencia sanitaria, entre agosto de 2018 y mediados de mayo de 2019.3
3 Inteligencia de seguridad, "Más de 100 empresas estadounidenses afectadas por Ryuk Ransomware desde agosto
2018, Finds FBI ”28 de julio de 2019 https://securityintelligence.com/news/more-than-100-us-
empresas-afectadas-por-ryuk-ransomware-desde-agosto-2018-encuentra-fbi
49
Página 66
Quiero llorar
WannaCry (también conocido como Wcry, WNCry, WanaCrypt0r y Wana Decrypt0r) es
https://translate.googleusercontent.com/translate_f 48/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
crypto ransomware que tiene capacidades de gusano. Se dirige a las computadoras que ejecutan el
Sistema operativo Windows y exige un rescate de $ 300 en la criptomoneda Bitcoin para descifrar
los datos (ver Figura 3-2 ). Los operadores de ransomware amenazan con duplicar el rescate si
no se paga dentro de los tres días; no pagar el rescate dentro de una semana dará lugar a
La destrucción permanente de los archivos infectados. Descubierto por primera vez en febrero de 2017, lo hizo
obtener reconocimiento internacional hasta el lanzamiento de la segunda versión el 12 de mayo de 2017,
cuando una gran campaña golpeó a decenas de países dirigidos a diferentes sectores de la salud
a las telecomunicaciones. WannaCry se propaga explotando un mensaje del servidor de Windows
Vulnerabilidad de bloqueo (SMB) que proporciona acceso sin restricciones a cualquier computadora que se ejecute
Windows WannaCry también puede propagarse entre LAN corporativas automáticamente.
50
Page 67
El ataque, que todavía se considera uno de los ataques de ransomware más devastadores.
alguna vez: ha afectado a más de 230,000 computadoras en 150 países y ha costado casi $ 4 mil millones
en pérdidas financieras Muchos países, incluidos los Estados Unidos, el Reino Unido y
Australia ha confirmado que Corea del Norte está detrás de este ataque de ransomware.
https://translate.googleusercontent.com/translate_f 49/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Las computadoras con Windows sufren de esta vulnerabilidad. WannaCry usa el puerto 445 en el
máquina víctima para instalarse e infectar nuevas computadoras; su servidor C&C está ubicado en
la red TOR. Al infectar una computadora víctima, WannaCry agrega el .WNCRY
extensión a todos los archivos infectados, elimina archivos de Windows Shadow Copy y deshabilita Windows
recuperación de inicio para evitar cualquier recuperación de archivos infectados. En cada carpeta que contiene
archivos cifrados, WannaCry dejará los siguientes archivos instruyendo a la víctima cómo
comportarse para restaurar sus archivos: Please_Read_Me @ .txt, @ WanaDecryptor @ .exe.lnk,
! WannaDecryptor! .Exe.lnk, y! Please Read Me! .Txt.
En Windows XP, Microsoft introdujo Vss, que es una aplicación que coordina
la creación de una instantánea consistente de archivos o volúmenes de computadora en un determinado
punto en el tiempo para cada partición donde se activa. Esto permite que Windows
recuperarse si alguno de sus archivos se corrompe por algún motivo.
51
Página 68
Para cerrar esta vulnerabilidad, Microsoft lanzó una actualización de revisión que puede ser
descargado de https://technet.microsoft.com/en-us/library/security/
MS17-010 .
Cerber
Cerber es crypto ransomware que se dirige al sistema operativo Windows; es ampliamente conocido por ser
distribuido a través del modelo de ransomware como servicio (RaaS) donde los desarrolladores toman
El 40 por ciento de las ganancias de rescate adquiridas como una tarifa de sus delincuentes afiliados. Es
considerado uno de los primeros usuarios más destacados del modelo RaaS. Primero apareciendo
en 2016, Cerber infecta computadoras usando vectores de ataque comunes como el phishing
correos electrónicos y kits de explotación (RIG EK, RIG-v, Nuclear Exploit Kit), y viene incluido
software gratuito en línea; sin embargo, Cerber utiliza principalmente archivos maliciosos de Microsoft Office
con macros para extender. Cerber usa tácticas de ingeniería social para convencer a la víctima
para habilitar macros; por ejemplo, el documento abierto podría no mostrarse correctamente,
entonces aparece un mensaje pidiéndole a la víctima que habilite las macros para verlo correctamente
(Ver Figura 3-3 ). Una vez que una víctima abre un documento malicioso de Microsoft Office y
habilita macros, el ransomware comienza a encriptar los archivos de las víctimas utilizando RC4 y RSA
algoritmos y cambia las extensiones de los archivos infectados a .cerber. (Versiones modernas
de Cerber cambia la extensión del archivo infectado a .cerber2, .cerber3 o cuatro al azar
caracteres.) Finalmente, después del cifrado exitoso de la máquina víctima, Cerber muestra
su nota de rescate como fondo de escritorio (ver Figura 3-4 ) y da siete días para el
víctima para pagar el rescate (alrededor de $ 500 a pagar en criptomoneda de Bitcoin); de otra manera,
la cantidad del rescate se duplicará. Se pueden encontrar instrucciones sobre cómo pagar el rescate
en el escritorio de la víctima y en cada carpeta que el ransomware ha encriptado (ver Figura 3-5)
Cerber tiene la capacidad de trabajar sin conexión, lo que significa que desconectar la máquina infectada
desde Internet no detendrá la rutina de cifrado.
https://translate.googleusercontent.com/translate_f 50/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
52
Página 69
Figura 3-3. Documento malicioso de Microsoft Word usando tácticas de ingeniería social
para convencer a los usuarios de habilitar macros
53
Page 70
https://translate.googleusercontent.com/translate_f 51/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
54
Page 71
Existen más de seis variantes del ransomware Cerber. Tras su primer lanzamiento en
Julio de 2016, más de 150,000 computadoras con Windows se infectaron en todo el mundo; al final
En 2016, los delincuentes detrás de Cerber habían adquirido $ 2.3 millones de pagos de rescate.
A diferencia de otros tipos de ransomware, los desarrolladores de Cerber lanzaron una actualización para su
ransomware cada 8.4 días en promedio, agregando más funciones para evadir la detección por
soluciones de seguridad
Locky
Apareciendo por primera vez en 2016, Locky apunta a máquinas basadas en Windows y viene suministrado
con capacidades anti-análisis y anti-sandboxing. Este ransomware tiene la capacidad
para cifrar 160 tipos de archivos, incluidos archivos de código fuente y bases de datos, lo que representa una amenaza real
contra empresas y pequeñas empresas por igual. Locky usa un cifrado RSA-2048 + AES-128
para cifrar archivos de víctimas en todo tipo de almacenamiento, como discos duros locales, discos duros extraíbles
unidades y recursos compartidos de red accesibles. Locky genera sus claves de cifrado en el servidor
lado y mantiene la clave privada de cada máquina víctima allí, descifrando los archivos de la víctima
imposible sin la clave privada.
¡Nota! una variación de locky puede encriptar archivos de víctimas fuera de línea sin comunicarse
con su servidor C&C. (verhttps://blog.avira.com/locky-goes-offline/ .)
La técnica más común utilizada por Locky para infectar sistemas es a través de la recepción
https://translate.googleusercontent.com/translate_f 52/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
un correo electrónico (disfrazado de recibos de pedidos, avisos de reclamos de ISP o cuenta de Dropbox
verificaciones) con un archivo adjunto malicioso de Microsoft Word; una vez abierto por el
víctima, les pedirá que habiliten macros porque el texto no es legible. Una vez
la víctima habilita macros, el código de macro descargará el código malicioso en el
forma de un descargador y guárdelo en la carpeta% Temp% antes de ejecutarlo. Después de esto,
Locky inicia y comienza a cifrar archivos de víctimas, incluido el archivo de billetera Bitcoin,
junto con sus nombres y toda la red comparte archivos a los que la víctima tiene acceso. los
El daño de Locky no se detiene aquí, ya que escanea e infecta todos los dispositivos conectados (servidores,
computadoras, unidades de red) accesibles para la víctima a través de la red infectada
ya sea que estén ejecutando Windows, Linux o macOS. Locky cambia los archivos infectados '
extensiones a .locky, .zepto, .thor, .asasin, .aesir, .ykcol y otras extensiones
55
Page 72
Según la variante. Locky también elimina archivos de Windows Volume Shadow Copy
evitar cualquier recuperación de archivos. Una vez terminado, mostrará un aviso de rescate sobre la víctima.
computadora de escritorio pidiendo un rescate entre 0.5 y 1 Bitcoin (por un valor de $ 400 en ese momento).
Una variante del ransomware Locky se propagó a través de la mensajería instantánea de Facebook. los
La infección se produjo mediante el uso de un archivo de imagen SVG, que se sabe que permite el contenido dinámico.
Un código JavaScript está oculto dentro de la imagen maliciosa; una vez que el objetivo ha hecho clic, lo hará
dirija el destino al sitio web malicioso que aloja el código malicioso o un kit de exploits.
Hay una alta probabilidad de que el grupo criminal detrás de Locky provenga de Rusia,
ya que este ransomware no ejecutará su ataque contra máquinas ubicadas en Rusia o que tengan
El paquete de idioma ruso instalado.
Petia
Apareciendo por primera vez en 2016, Petya tiene principalmente dos variantes. La primera variante apareció
en 2016, y el segundo moderno apareció en 2017, que se llamaba NotPetya.
La variante 2017 es muy peligrosa ya que tiene efectos irreversibles y puede propagarse.
sin intervención humana. Además, se generan las claves de cifrado de NotPetya
al azar y luego destruido, haciendo imposible la recuperación de datos (tiene un efecto similar
al disco duro limpiando herramientas).
Petya apunta al sistema operativo Windows e infecta el registro de arranque maestro (MBR); luego
sobrescribe el cargador de arranque original de Windows con uno malicioso y realiza
Un reinicio. Luego ejecuta su carga útil y comienza a cifrar la tabla del archivo maestro
(MFT) del sistema de archivos NTFS, lo que hace que Windows no pueda localizar los archivos almacenados.
En el próximo reinicio, Petya evita que Windows arranque y muestra un rescate
tenga en cuenta, en cambio, pedir $ 300 en criptomonedas de Bitcoin para recuperar el acceso a
sistema comprometido
cada partición ntFs de windows contiene un archivo mFt que maneja la ubicación de
archivos en la partición. el archivo mFt contiene al menos un registro (entrada) para cada archivo
almacenado dentro de la partición ntFs. este registro contiene información importante sobre el
archivo de asunto, incluido su tamaño, permiso, atributos de marca de tiempo y contenido de datos.
56
https://translate.googleusercontent.com/translate_f 53/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 73
Al igual que otras familias de ransomware, Petya se propaga a través de correos electrónicos no deseados; tambien es
se ofrece como un programa de afiliación utilizando el modelo de ransomware como servicio (RaaS). los
la primera versión de Petya requiere acceso administrativo a una máquina víctima para operar;
sin embargo, otras variantes de la primera versión de Petya instalan otro ransomware llamado
Mischa si no logran obtener privilegios administrativos. El ransomware Mischa cifra
todo en la máquina de la víctima, incluidos los archivos .exe, evitando que la víctima se ejecute
cualquier programa en la máquina infectada. Para cada carpeta que contiene archivos cifrados,
Mischa creará dos notas de rescate llamadas YOUR_FILES_ARE_ENCRYPTED.HTML y
YOUR_FILES_ARE_ENCRYPTED.TXT. En ese momento (2016), Mischa solicitó 1.93 Bitcoins,
que era equivalente a $ 850. Esta fue una gran cantidad de rescate en comparación con otros
familias de rescate. Como con la mayoría de las familias de ransomware, el pago del ransomware Mischa
El sitio está alojado como un servicio oculto TOR.
NotPetya se propaga utilizando los exploits EternalBlue y EternalRomance robados
del arsenal de herramientas de piratería de la NSA. Su primer ataque tuvo lugar en junio de 2017, apuntando
organizaciones importantes en Rusia y Ucrania. Sin embargo, la mayor parte del daño tuvo lugar en el
Ucrania, haciendo que los expertos en seguridad crean que este ataque fue un ruso patrocinado por el estado
ataque cibernetico.
Aunque tiene muchos puntos en común con Petya y se comporta en general como
ransomware, NotPetya se distingue por su daño intencional y su capacidad para
autopropagarse Los expertos en seguridad descubrieron después de analizar su código fuente que NotPetya
fue creado para destruir datos, y su objetivo final no era generar ganancias de
rescates; en cambio, quiere sabotear y destruir los datos almacenados en los sistemas de destino. Esta
De hecho, muchos expertos en seguridad lo clasifican como un "arma cibernética".
Sam Sam
El ransomware SamSam, también conocido como Samas, Kazi o RDN / Ransom, es cifrado
ransomware utilizado en ataques dirigidos. Por lo tanto, se utiliza para apuntar a una organización específica
después de realizar algún tipo de reconocimiento contra sus sistemas de TI. Los criminales
57
Page 74
detrás de SamSam comienzan su intrusión mediante el uso de varias herramientas de piratería, kits de explotación y
técnicas de fuerza bruta en una computadora víctima (generalmente el servidor de Internet de la
organización objetivo). Después de eso, aprovechan herramientas legítimas de Windows Sysinternals
( https://docs.microsoft.com/en-us/sysinternals ), herramientas de administración de redes y
otras herramientas de recolección de contraseñas como Mimikatz (https://github.com/gentilkiwi/
mimikatz ) para escanear dispositivos vulnerables y obtener acceso a la organización objetivo
red. Después de que tengan un plan para apuntar a la red de la organización y vulnerable
sistemas, SamSam se implementa en la primera máquina infectada y luego se propaga
a través de la red infectada para encriptar todas las computadoras, servidores y redes conectadas
unidades.
https://translate.googleusercontent.com/translate_f 54/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Los primeros ataques registrados de SamSam tuvieron lugar en 2016 (algunas fuentes lo mencionan
comenzando a fines de 2015), y continuó en 2017 después de aumentar la cantidad del rescate.
En 2018, SamSam volvió a alcanzar objetivos de alto perfil, principalmente contra empresas estadounidenses
(p. ej., Hancock Health4 ) y grandes organizaciones del sector público (por ejemplo, la ciudad de Atlanta 5,
y el Departamento de Transporte de Colorado 6) Se cree que muchos privados
Las organizaciones del sector permanecieron en silencio sobre los ataques de SamSam para evitar dañar sus
reputaciones
A diferencia de la mayoría de las familias de ransomware, SamSam no utiliza tácticas de ingeniería social.
tales como correos electrónicos no deseados y phishing para difundir. En cambio, apunta a vulnerabilidades en el servidor
aplicaciones (por ejemplo, principalmente servidores JBoss y FTP) e intenta forzar contraseñas débiles
de cuentas de Protocolo de escritorio remoto (RDP) para obtener acceso a redes corporativas.
En comparación con otras familias de ransomware, SamSam necesita habilidades sofisticadas de piratería
por sus operadores ya que este ataque debe llevarse a cabo manualmente con supervisión directa de
su operador Incluso si una víctima elige pagar el rescate, necesita ejecutar el desencriptador
ofrecido por el atacante manualmente en cada máquina afectada localmente para restaurar los archivos a su
estado original
4 Greenfieldreporter, “El hospital paga un rescate de $ 55,000; sin datos de pacientes robados ”, 26 de febrero de 2019,
http://www.greenfieldreporter.com/2018/01/16/01162018dr_hancock_health_pays_
rescate/
5 Zdnet, "Atlanta proyecta gastar al menos $ 2.6 millones en recuperación de ransomware", 26 de febrero,
2019, https://www.zdnet.com/article/atlanta-spent-at-least-two-million-on-
recuperación-ataque-ransomware
6 Denverpost, "El ataque cibernético en las computadoras CDOT se estima que ha costado hasta $ 1.5 millones hasta ahora"
26 de febrero de 2019 https://www.denverpost.com/2018/04/05/samsam-ransomware-cdot-cost/
58
Página 75
La mayoría de los ataques de SamSam se lanzan temprano en la mañana o después de la medianoche (del
zona horaria local objetivo) cuando se espera que los administradores de TI estén dormidos o sean administradores junior
están de guardia Una vez instalado en la máquina víctima, comienza a buscar todas las copias de seguridad en
la computadora local y todos los recursos compartidos conectados, busca instantáneas de volumen de Windows
(el servicio de copia de seguridad incorporado de Windows) y elimina todo para evitar que una víctima
recuperando sus archivos. SamSam utiliza el cifrado RSA-2048 para cifrar los archivos de las víctimas.
SamSam exige un alto rescate para manejar la clave de descifrado. Por ejemplo, el
El hospital Hancock Health pagó 4 Bitcoins (equivalentes a $ 55,000 en ese momento) para recuperar
acceso a sus datos. El grupo criminal detrás de SamSam ha generado alrededor de $ 6 millones
desde su primer ataque. 7 los rescates de SamSam se pagan a través de Bitcoin. El tiempo de espera para
pagar el rescate es de siete días; después de eso, el rescate aumenta.
Los delincuentes detrás de SamSam lo desarrollan continuamente para evadir la detección. los
La cantidad de rescate también está aumentando dramáticamente, y la cantidad de rescate adquirido en
el pasado ha ayudado a los operadores de SamSam a invertir más tiempo y recursos para emplear
Técnicas más sofisticadas en su diseño, difusión, ataque e implementación que solo tienen
visto en ataques de espionaje. No hay signos de desaceleración del ransomware SamSam
ataques en el futuro, lo que lo convierte en una amenaza grave, especialmente para las organizaciones estadounidenses.
DMA Locker
Este es otro ransomware de cifrado que golpeó el sistema operativo Windows, apareciendo primero en el
https://translate.googleusercontent.com/translate_f 55/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
principios de 2016. Se sabe que el ransomware DMA Locker se propaga principalmente a través de
el protocolo de Conexión a Escritorio remoto además de otros métodos tradicionales.
Una vez instalado en la máquina víctima, detiene todas las aplicaciones utilizadas para copias de seguridad y
Cifra los datos mediante el cifrado AES sin agregar ninguna extensión a los archivos cifrados.
En cambio, agrega una firma en el encabezado de cada archivo infectado para reconocerlo. DMA
Locker exige 2 Bitcoin (DMA versión 2 y DMA versión 3 solicitaron 4 Bitcoin,
Page 76
mientras que la versión 4.0 solicitó 1 BTC) como rescate para manejar la clave de descifrado. El DMA
La nota de rescate del casillero muestra instrucciones paso a paso sobre cómo pagar el rescate. UN
La característica distintiva de este ransomware es su capacidad para descifrar archivos de víctimas a través de
característica incorporada disponible dentro de la nota de rescate (ver Figura 3-6 ).
Figura 3-6. DMA Locker versión 2.0 nota de rescate que muestra el pago paso a paso
instrucciones
la mayoría de los archivos digitales tienen una firma ubicada en los primeros 20 bytes del archivo; esta firma puede
se puede ver abriendo el archivo de asunto usando el bloc de notas de Windows o cualquier otro editor de texto como
notepad ++ (https://notepad-plus-plus.org ). Por ejemplo, tenemos un archivo de imagen
llamado diala.jpg; si abrimos el archivo JpG usando un editor hexadecimal (estoy usando el editor hxD, que usted
puede descargar desde www.mh-nexus.de) e investigue sus primeros 20 bytes, debería ver el
firma asociada con el tipo de archivo JpG (ver Figura 3-7)
60 60
Page 77
https://translate.googleusercontent.com/translate_f 56/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Del mismo modo, DMA Locker inserta su propia firma en el encabezado de los archivos infectados.
para distinguirlo
DMA Locker cifra todo en la máquina de destino, excepto los ejecutables y
Archivos del sistema de Windows (tiene una lista blanca de carpetas y extensiones de archivo excluidas de
cifrado) y agrega claves de ejecución automática en el registro de Windows para la persistencia a través de
reinicia Después de la infección, la computadora de la víctima permanece operativa y puede pagar
rescate a través de él. DMA Locker tiene la capacidad de encriptar recursos compartidos de red e incluso
recursos compartidos de red sin asignar. La primera versión de DMA Locker genera un cifrado
clave para todos los archivos que encripta en la máquina víctima; sin embargo, los nuevos lanzamientos
(a partir de la versión 2) de este ransomware, cree una nueva clave AES aleatoria para cada
archivo infectado y luego encriptar la clave generada aleatoriamente utilizando el algoritmo RSA.
CriptaXXX
Otro ransomware de cifrado dirigido al sistema operativo Windows apareció por primera vez en abril de 2016;
fue arrojado por el caballo de Troya Bedep, que a su vez se extendió a través del pescador
kit de explotación (EK). Esta familia de ransomware no solo cifra los archivos de las víctimas; también se ejecuta
otro malware que roba información (el módulo DLL StillerX, que también puede ser
implementado como una herramienta independiente) para robar Bitcoins y otra información (por ejemplo, correo electrónico
61
78 de 1189.
las contraseñas de los clientes, las contraseñas del navegador web, las credenciales de VPN y las cookies) de
computadora de la víctima y enviarlos de regreso a sus operadores a través de su servidor C&C. Algunos
Los investigadores de seguridad concluyen que el grupo detrás de CrypXXX es el mismo grupo que
conducía el ransomware Reveton debido a las muchas similitudes entre ellos.
La primera versión de CryptXXX encripta archivos de víctimas usando el algoritmo RSA-4096
y agregó la extensión .crypt al nombre del archivo, mientras que las versiones más nuevas adoptan diferentes
comportamientos con respecto a nombrar archivos de víctimas. Por ejemplo, algunas variaciones no se agregan
cualquier extensión a archivos cifrados, mientras que otros agregan diferentes extensiones (por ejemplo, .cryp1,
.crypz, o una cadena aleatoria) y cambie el nombre del archivo completo a algo nuevo. CryptXXX también
tiene capacidades anti-sandboxing y anti-análisis y solicita un rescate relativamente alto
($ 500) a través de Bitcoin. Deja tres tipos de archivos léame (de_crypt_readme.bmp, de_
crypt_readme.txt, de_crypt_readme.html) en la máquina víctima para alertar al propietario
sobre la infección y dar instrucciones sobre cómo pagar el rescate (ver Figura 3-8 ).
https://translate.googleusercontent.com/translate_f 57/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
62
Página 79
CryptXXX versión 2.0 niega el acceso a la máquina víctima al bloquear la pantalla con
La alerta de rescate.
Se informa que una variación de CryptXXX llamada UltraCrypter tiene errores importantes con su
diseño del sistema de pago, ya que este sistema no pudo proporcionar el desencriptador para las víctimas
después de pagar el rescate.8
En la versión CryptXXX 3.100, los desarrolladores detrás de CryptXXX cambiaron su distribución
al kit de exploits Neutrino. Esta versión ha sido actualizada para incluir más capacidades
como una capacidad de escaneo de red para buscar y cifrar recursos compartidos en el
Dominio de Windows y redes de Active Directory de Windows. El portal de pago también fue
actualizado y se conecta directamente a un sitio web alojado en la red TOR.
CryptoWall
CryptoWall es el sucesor del obsoleto ransomware CryptoLocker. CryptoWall
es un ransomware de encriptación que se dirige a máquinas basadas en Windows; se propaga a través de
correos electrónicos no deseados maliciosos, kits de explotación como Nuclear y Angler, y publicidad maliciosa
campañas Se cree que CryptoWall fue desarrollado por los mismos grupos criminales.
detrás de Cryptolocker, CryptoDefense, BitCrypt y Cryptorbit. Una vez ejecutado en el
máquina víctima, CryptoWall escribe sus propias claves de registro de ejecución automática en el registro de Windows
para mantener su persistencia a través de reinicios. Luego busca todos los puntos de restauración del sistema
y Volume Shadow Copy y los destruye para evitar que la víctima restaure
cualquier archivo Luego comienza a encriptar archivos usando el algoritmo de encriptación RSA-2048. Rescate
los archivos de notas tienen nombres diferentes para cada variante y se colocan en el sistema infectado
utilizando diferentes formatos de archivo como HTML, TXT, URL y PNG. Estos archivos se abrirán
automáticamente en la máquina víctima después de una infección exitosa. Por ejemplo, CryptoWall
1.0 coloca los siguientes archivos en la máquina víctima: DECRYPT_INSTRUCTION.HTML,
DECRYPT_INSTRUCTION.TXT y DECRYPT_INSTRUCTION.URL. Versión 4.0 de CryptoWall
coloca los siguientes archivos: NSTRUCTIONS_47987A1B78.html, INSTRUCTIONS_47987A1B78.
png e INSTRUCTIONS_47987A1B78.txt (los números en cada nombre de archivo son únicos
para cada máquina infectada.) CryptoWall utiliza el canal TOR para comunicarse con su
https://translate.googleusercontent.com/translate_f 58/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
servidor de comando y control alojado en la red TOR. (Una variante usó el I2P
red anónima en lugar de TOR; sin embargo, fue descartado después de un corto tiempo).
63
80
i2p es una red de anonimato alternativa a tor, y admite actividades comunes de internet
tales como navegación web, alojamiento de sitios web de correo electrónico, intercambio de archivos y chat en tiempo real.
A diferencia de tor, cuyo enfoque es acceder a sitios web desde Internet normal además de
Hospedaje de sitios web anónimos conocidos como servicios tor (tiene la extensión de dominio .Onion), i2p
está más dirigido hacia el acceso a un Internet anónima cerrada, también conocido como una red oscura ,
separado del internet normal. i2p protege las comunicaciones de la vigilancia de redes de arrastre y
seguimiento por parte de diferentes terceros (gobiernos, isps, etc.). cualquiera que ejecute i2p puede ejecutar un
servidor anónimo a través de un llamado eepsite , al que solo se puede acceder dentro de las redes i2p
utilizando el dominio de nivel superior .i2p.
Puede obtener I2P y obtener más información al respecto en su sitio web oficial ( https: // geti2p.
net / es /)
CryptoWall ha evolucionado con el tiempo y ahora tiene seis variantes principales. La primera variante
apareció en noviembre de 2013 y fue un clon completo del ransomware CryptoLocker
en términos de texto e interfaz gráfica de usuario. La segunda variante llegó en febrero de 2014.
y fue nombrado CryptoDefense. Sin embargo, un error en su implementación de criptografía que
hizo posible restaurar archivos de víctimas obligó a sus operadores a detener esta variante.
En marzo de 2014, los desarrolladores de CryptoWall lanzaron su primera versión "oficial" que lleva
Su nombre actual. CryptoWall 1.0 (ver Figura 3-9) es una versión moderna de CryptoDefense
eso corrige sus errores anteriores, haciéndolo más robusto para atacar sistemas. Sin embargo, un defecto
en su función de eliminación hace posible recuperar archivos de copia de seguridad de víctimas eliminados mediante el uso
software de recuperación y otras técnicas forenses digitales, ya que el ransomware no era
sobrescribir los archivos de copia de seguridad eliminados. En cambio, los eliminó usando la API de Windows
La función DeleteFile y los datos eliminados utilizando dicha técnica se pueden recuperar más adelante si el
La máquina víctima tiene suficiente espacio en el disco al momento de la infección. Ver figura 3-10 para el
Modelo de comunicación CryptoWall 1.0.
64
Página 81
https://translate.googleusercontent.com/translate_f 59/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sesenta y cinco
Page 82
En cada nueva versión, los operadores de CryptoWall intentaron superar las deficiencias en el
versión anterior y agregar nuevas funcionalidades. Por ejemplo, CryptoWall versión 2.0 usa un
conexión directa a la red TOR, donde se encuentra su servidor C&C, sin pasar
El tráfico a través de un servidor proxy. CryptoWall 3.0 utiliza un C&C alojado en el I2P anónimo
https://translate.googleusercontent.com/translate_f 60/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
red en lugar de TOR como el canal de conexión entre la máquina víctima y el
La conexión de C&C fue directa sin utilizar ningún servidor proxy.
CryptoWall 4.0 volvió a usar el mismo modelo de comunicación de la versión 1.0 con
una pequeña modificación, ya que inserta una capa proxy adicional (un script PHP alojado en un
sitio web comprometido) entre la máquina víctima y el servidor Privoxy.
Resumen
En este capítulo, arrojo luz sobre las familias de ransomware más comunes según
hasta su fecha de descubrimiento y dio una breve información técnica sobre cada familia.
Por supuesto, hay muchas otras familias de ransomware, pero en este capítulo, me concentré
en los mas notables. Para descubrir más familias de ransomware, consulte
Mesa 3- 1, que enumera las familias de ransomware de acuerdo con los pagos recibidos de Bitcoin.
Estas estadísticas fueron tomadas de un estudio titulado "Ransomware en el ecosistema de Bitcoin" 9
y cubren el período de 2013 a mediados de 2017.
66
Page 83
Como puede ver, diferentes familias de ransomware usan los mismos vectores de infección
para extenderse Actualmente, el correo electrónico malicioso y los kits de explotación son los principales métodos utilizados
por los operadores de ransomware para difundir. También tenga en cuenta que la mayoría de las familias de ransomware usan
el sistema de criptomonedas de Bitcoin para recibir pagos de rescate y alojar sus
servidor de comando y control en la darknet TOR. Las principales diferencias entre
Las familias de ransomware son el algoritmo de encriptación utilizado para encriptar los archivos de las víctimas.
y el monto del pago del rescate.
A medida que los autores de malware continúan su esfuerzo para escribir código malicioso avanzado
y trabajar para desarrollar nuevos métodos de difusión, puede esperar ver ransomware futuro
familias con más capacidades para evadir la detección, propagarse automáticamente a otros
https://translate.googleusercontent.com/translate_f 61/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
26 de febrero de 2019, https://gosecure.net/2018/06/18/ransomware-payment-in-the-
ecosistema bitcoin /
67
84
redes e incluso infectar dispositivos IoT como relojes inteligentes, televisores inteligentes y dispositivos médicos
dispositivos. Hasta entonces, el conocimiento adquirido al comprender los comportamientos, en
términos del vector de infección, modelos de comunicación y cómo se propagan
las familias de ransomware implementadas actualmente lo ayudarán a comprender y defenderse de
las nuevas familias de ransomware que aparecerán en el futuro.
Ahora que conoce la historia del ransomware, sus familias principales y cómo infecta
e infiltrarse en los sistemas, la gran pregunta es, ¿qué pueden hacer las empresas y los individuos para
proteger contra esta amenaza emergente? Entrenamiento de seguridad cibernética mejorado y múltiples
capas de defensa de seguridad son claramente parte de la respuesta, y esto es lo que cubro en el
segunda parte de este libro
68
Page 85
PARTE II
https://translate.googleusercontent.com/translate_f 62/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Mitigación
Estrategias de ransomware
86
CAPÍTULO 4
Los ataques de ransomware pueden afectar a casi cualquier tipo de dispositivo informático, pero los dispositivos de punto final
Todavía recibimos la mayor cantidad de incidentes de ransomware. Desde los primeros días de la
Internet, la seguridad de las computadoras de punto final siempre se ha considerado la primera línea de
defensa contra ataques de malware (aparte de firewalls y software antivirus).
Endpoint security es un término utilizado para describir todas las tecnologías utilizadas para proteger endpoint
dispositivos (o dispositivos de usuario final) de ataques cibernéticos. Asegurar dispositivos de punto final es una clave para
proteger la red de toda una empresa de ataques maliciosos, como un compromiso
El punto final proporciona puntos de entrada para que los actores malintencionados hagan su mal trabajo.
https://translate.googleusercontent.com/translate_f 63/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Asegurar los puntos finales no se limita a instalar soluciones antivirus como algunas personas
puede pensar Varias tareas se consideran elementos importantes para formar un punto final.
estrategia de defensa, como configurar y fortalecer los sistemas operativos, actualizar y
parchear sistemas operativos y aplicaciones instaladas regularmente, configurando políticas de uso que controlan
qué aplicaciones / scripts pueden ejecutarse, implementando una prevención de pérdida de datos (DLP)
solución, implementando una política de clasificación de datos, utilizando cifrado de archivos y disco completo,
y utilizando tecnología de sandboxing. Optimizar su defensa de punto final lo ayudará
para reducir la superficie de ataque cibernético tanto como sea posible además de proteger su
red y datos de ataques dirigidos y persistentes.
En este capítulo, te enseño cómo optimizar tu dispositivo informático para que se convierta
más resistente a los ataques de ransomware. También cubro diferentes métodos para reducir el ataque.
superficie de ciberataques contra dispositivos de punto final, centrándose principalmente en ransomware
amenazas Tenga en cuenta que hay muchas soluciones de seguridad de puntos finales comerciales en el
mercado, y tales soluciones vienen incluidas con herramientas de seguridad ricas como anti-malware,
71
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_4
Page 87
cortafuegos, protección de correo electrónico, antispam, asesores web, control de aplicaciones, control de dispositivos,
administración remota y la capacidad de aplicaciones de sandbox para una seguridad completa. yo
no recomendará ningún producto específico, ya que puede considerar la protección de seguridad
elementos y contramedidas mencionados en este libro como una lista de verificación de características para cualquier
producto que pretendes tener.
La capacitación en concientización sobre ciberseguridad es un elemento importante en cualquier defensa de punto final
estrategia; aprende más sobre esto en el Capítulo6 6.
¡Nota! Los dispositivos de punto final son cualquier dispositivo informático compatible con Internet, como
computadoras de escritorio, computadoras portátiles, teléfonos inteligentes, tabletas, dispositivos de Internet de las cosas (IoT),
impresoras u otro hardware especializado como terminales de punto de venta (PoS) y
contadores inteligentes.
Para seleccionar la mejor solución antivirus para proteger contra ransomware, primero debe
Comprender las diferentes técnicas de detección empleadas por los productos antivirus para detectar
y bloquear el malware.
72
https://translate.googleusercontent.com/translate_f 64/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 88
Análisis de comportamiento
En la detección de comportamiento, el programa antivirus intenta identificar el malware observando
sus comportamientos, como si está modificando el sistema desempacando código malicioso, eliminando
archivos, cambiar el contenido del archivo "host" del sistema operativo, monitorear las pulsaciones de teclas o intentar
para conectarse con un servidor remoto en línea. Tales indicadores pueden disparar una alarma o bloquear el
atacar antes de que continúe.
¡Nota! Un archivo host del sistema operativo es un archivo de texto del sistema que existe en todos los principales
oSs y se usa para asignar nombres de dominio a sus direcciones IP asociadas. A pesar de que
fue reemplazado por el sistema de nombres de dominio (dnS) hace mucho tiempo, todavía
disponible en OS modernos como un método alternativo para la resolución de nombres de dominio. En
Windows, se puede encontrar en% SYSTEMDRIVE% \ Windows \ System32 \ drivers \
etc \ hosts. Algunos tipos de malware modifican el archivo host de oS para redirigir lo que no se sabe
usuario a un sitio web falso en lugar del legítimo.
73
Page 89
https://translate.googleusercontent.com/translate_f 65/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Sandboxing
En la detección de sandbox, el programa antivirus ejecutará el archivo sospechoso en un virtual
entorno donde no se puede hacer daño a la máquina host cuando se verifica
comportamientos y clasificarlo en consecuencia.
74
Página 90
Antes de comprar un producto antivirus, asegúrese de que ofrezca las siguientes características principales:
• Integración con los principales programas de cliente de correo electrónico como Microsoft
Outlook y Mozilla Thunderbird para analizar el correo electrónico entrante / saliente
tráfico y filtrado de correos electrónicos no deseados
• Protección contra manipulaciones para que el malware no pueda detenerlo sin el conocimiento del usuario.
¡Advertencia! La protección antivirus por sí sola no es efectiva contra los ataques de ransomware.
Tener un programa antivirus no es una solución 100% efectiva para detener
Secuestro de datos. Los ataques anteriores han demostrado que incluso con el despliegue de más
de una solución antivirus, las corporaciones aún pueden ser infectadas por ransomware.
¡Nota! ¿Por qué las soluciones antivirus tradicionales no pueden detectar el ransomware de manera efectiva?
El correo electrónico de phishing es el principal vehículo de ataque del ransomware. Este ataque usa
tácticas de ingeniería social para convencer a los usuarios desprevenidos de descargar y abrir
https://translate.googleusercontent.com/translate_f 66/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
archivos adjuntos maliciosos para infectar su máquina con ransomware. De hecho, los humanos
son el eslabón más débil, y el ransomware depende en gran medida de los errores humanos para infectar
y difundir. Esto no se puede detener sin una adecuada conciencia de ciberseguridad
capacitación para que los usuarios puedan conocer las últimas amenazas cibernéticas y
métodos de infección
75
Page 91
76
https://translate.googleusercontent.com/translate_f 67/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 92
Esto se puede lograr automáticamente mediante el uso de un programa de actualización de software que mantiene todo
sus programas instalados (y otras herramientas de terceros) actualizados a la última versión. los
Los siguientes son algunos actualizadores de software gratuitos para ayudarlo en esta tarea:
• Parchear mi PC (https://patchmypc.com/homeupdaterdownload)
• OUTDATEfighter ( https://www.spamfighter.com/OUTDATEfighter/
Download_Download.asp )
Tecnología de virtualización
El uso de la tecnología de virtualización permite al usuario proteger su máquina del ransomware
y otras amenazas de malware. Al usar una máquina virtual, un usuario puede ejecutar programas,
abrir archivos adjuntos de correo electrónico, descargar e instalar programas de Internet y visitar
sitios web comprometidos de forma segura sin tener miedo de infectar su sistema operativo
con malware, ya que la máquina virtual se ejecutará en una caja de arena aislada completamente de su host
sistema operativo de la máquina. Las máquinas virtuales populares incluyen VirtualBox (https: //
www.virtualbox.org) y VMware Workstation Player ( www.vmware.com/products/
player / playerproevaluation.html)
¡Nota! Un método alternativo para ejecutar un sistema operativo completo en una máquina virtual es
para congelar su sistema operativo, haciéndolo inadmisible a cualquier cambio. Toolwiz Time freeze
(http://www.toolwiz.com/lead/toolwiz_time_freeze) es una herramienta simple
para hacer restauraciones instantáneas del sistema. Al activar el modo de congelación de tiempo, todo el
El sistema se ejecutará dentro de una caja de arena. Cualquier cambio realizado al sistema o al usuario
los archivos almacenados se descartarán al reiniciar; solo los archivos en la lista de exclusión
retener sus actualizaciones (ver figura 4-2)
77
Página 93
https://translate.googleusercontent.com/translate_f 68/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-2. Toolwiz Time Freeze activado con una carpeta en la lista de exclusión
¡Nota! Los principales vectores de ataque del ransomware son correos electrónicos, kits de explotación, programas
descargado de Internet y sitios web de redes sociales. Todos estos recursos
generalmente se accede mediante navegadores web.
Al igual que con las máquinas virtuales, puede usar la tecnología de sandboxing para separar
programas como navegadores de Internet, clientes de correo electrónico y otros programas de mensajería instantánea de
sistema operativo subyacente ejecutando dichos programas dentro del software sandbox. En esto
así, puede asegurarse de que no se realizarán cambios no deseados en sus datos personales y
SO y programas instalados, y también puede navegar por sitios web sospechosos de forma segura, incluyendo
los prohibidos por la solución antivirus instalada, sin tener miedo de ningún tipo de
infección de malware Los clientes de correo electrónico también pueden ejecutarse dentro del entorno limitado, lo que permite a un usuario
78
Page 94
abra archivos adjuntos de correo electrónico que no sean de confianza sin temor a infectarse con malware.
Además, ejecutar programas dentro de una aplicación de sandbox consumirá menos
recursos informáticos (procesamiento y memoria) en comparación con la ejecución de un sistema operativo completo en el interior
Una máquina virtual. Hay muchos programas de sandbox. Shade Sandbox (https: // www.
shadesandbox.com ) es una aplicación de sandbox confiable y gratuita para el sistema operativo Windows (consulte la Figura 4-3)
Figura 4-3. Uso de la aplicación Shade Sandbox para ejecutar localmente virtualizado
aplicaciones
¡Nota! Las familias avanzadas de ransomware pueden detectar un entorno virtual para evitar
detección y análisis. Aunque la detección de un entorno virtual se considera un
https://translate.googleusercontent.com/translate_f 69/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
característica
operadores deavanzada de algunas
ransomware cepassu
para detener deinvasión.
ransomware, esta característica
por ejemplo, una prueba sede
puede usar contra
concepto
experimento realizado por McAfee encontró que emular un entorno virtual en
79
Page 95
Figura 4-4. Uso del servicio de aislamiento del navegador WEBGAP para navegar por la Web de forma segura
1 Mcafee, "Detención de malware con una máquina virtual falsa" 20 de abril de 2019.
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/
máquina virtual de detención de malware falso
80
Page 96
https://translate.googleusercontent.com/translate_f 70/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
81
Page 97
Finalmente, cierre Firefox y vuelva a abrirlo para que los cambios surtan efecto. Para probar esta función,
ir al sitio de prueba de malware en http://itisatrap.org/firefox/its-an-attack.html .
Firefox debe bloquear el sitio y mostrar un mensaje de advertencia (consulte la Figura 4-7 ).
https://translate.googleusercontent.com/translate_f 71/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-7. Ejemplo de advertencia de sitio engañoso al visitar un sitio de phishing lanzado
por Firefox
82
98
¡Advertencia! Tenga en cuenta que algunos proveedores de complementos pueden engañar a los usuarios y recopilar
datos privados sobre hábitos de navegación e incluso información personal sin su
consentimiento, por lo que es aconsejable verificar la reputación del desarrollador antes de instalar
cualquier extensión del navegador e instálela desde https://addons.mozilla.org
exclusivamente.
https://translate.googleusercontent.com/translate_f 72/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
83
Page 99
84
Página 100
Para contrarrestar los riesgos de seguridad asociados con WSH, es recomendable deshabilitar esto
característica en todos los dispositivos de punto final y en servidores cuando el sistema no lo utiliza de forma intensiva
administradores Para deshabilitar la funcionalidad WSH para el usuario actual, siga estos pasos:
https://translate.googleusercontent.com/translate_f 73/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
teclas y luego escriba regedit.
3. Cree una nueva clave REG_DWORD haciendo clic derecho en el panel derecho,
seleccionando Nuevo, seleccionando DWORD, nombrándolo Habilitado , y
asignándole un valor de 0 (ver Figura 4-8)
Figura 4-8. Crear una nueva clave DWORD para deshabilitar la función WSH para
usuario actual
Para asegurarse de que funciona correctamente, cree un nuevo archivo de texto, cambie su extensión a .vbs,
e intenta ejecutarlo. Debería aparecer un mensaje emergente diciendo que el acceso está deshabilitado (ver
Figura 4-9)
85
Page 101
Figura 4-9. Un mensaje de advertencia al intentar ejecutar un script VBS cuando el WSH
la función está deshabilitada
Para restaurar la funcionalidad WSH, simplemente elimine la clave de registro habilitada (o cambie su
valor a 1).
https://translate.googleusercontent.com/translate_f 74/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
tipos de ataques de malware. Por ejemplo, una cuenta de usuario limitada no puede instalar programas
o realizar modificaciones importantes al sistema operativo (por ejemplo, agregar o modificar claves de registro).
Además, algunas cepas de ransomware (por ejemplo, la familia Ryuk) necesitan privilegios de administrador para ejecutarse
y comenzar su trabajo. Como ya sabes, el malware es un programa informático malicioso,
lo que significa que se aplica la misma restricción al infectar a un usuario con
privilegios Muchos estudios muestran que el uso de una cuenta limitada ayudará a limitar la mayoría del malware
infección.
¡Nota! El 94 por ciento de las vulnerabilidades de Microsoft se pueden mitigar mediante el uso de un
Cuenta de usuario limitada estándar. 2
2 Computerworld, “el 94% de las vulnerabilidades de Microsoft pueden mitigarse fácilmente” 20 de abril de 2019.
https://www.computerworld.com/article/3173246/94-of-microsoft-vulnerabilities-
can-be-easy-mitigated.html
86
Page 102
¡Propina! Al usar su computadora para navegar por Internet, crear / editar Microsoft
archivos de Office, o abrir archivos adjuntos de correo electrónico, siempre es recomendable utilizar un
cuenta de privilegio de Windows (la cuenta estándar). Esta táctica detendrá diferentes tipos de
el malware infectará su máquina y evitará el cifrado moderno ransomware
de eliminar Volume Shadow Copies (cuando el servicio VSS está habilitado). Por lo tanto, puedes
restaurar los archivos cifrados de VSS Snapshot después de una infección de ransomware.
Para configurar una cuenta de usuario estándar en Windows 10, abra la Configuración de Windows y seleccione
Cuentas Luego seleccione "Familia y otras personas" en el panel izquierdo y haga clic en "Agregar a alguien
más a esta PC "(ver Figura 4-10)
Figura 4-10. Crear una nueva cuenta de usuario en Windows 10 (versión 1803)
https://translate.googleusercontent.com/translate_f 75/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
87
Page 103
Aparece el nuevo Asistente de creación de usuario. Seleccione "No tengo el inicio de sesión de esta persona
información "y seleccione" Agregar un usuario sin una cuenta de Microsoft ". Ahora ingrese un nombre de usuario
y contraseña y responda las tres preguntas de seguridad necesarias para recuperar su cuenta
en caso de que olvides la contraseña. Haga clic en Siguiente y ya está.
Para cambiar el tipo de cuenta actual de Windows, vaya a Configuración, seleccione Cuentas y
seleccione "Familia y otras personas" en el panel izquierdo. Ahora en el panel derecho, debajo de "Otro
personas ", seleccione la cuenta que desea modificar y haga clic en" Cambiar tipo de cuenta ".
tiene dos opciones: Administrador y Estándar (ver Figura 4-11)
88
Página 104
https://translate.googleusercontent.com/translate_f 76/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-12. Solicitud de UAC en Windows 7 para un usuario con cuenta de administrador
privilegio que quiere ejecutar un instalador
Para cambiar el UAC en Windows 10, vaya al Panel de control y seleccione Seguridad y
Mantenimiento en el lado izquierdo. Seleccione Cambiar configuración de cuenta de usuario en la nueva ventana
y mueva el control deslizante hacia arriba a "Notificar siempre" (consulte la Figura 4-13 ).
89
Page 105
Aunque el malware moderno puede evitar ese UAC e infectar el sistema sin
activar un aviso de UAC, habilitarlo, especialmente para usuarios con privilegios de administrador, aún puede
https://translate.googleusercontent.com/translate_f 77/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
probar beneficioso en muchos casos.
90
Page 106
3 F-Secure, “Lo que hay que saber sobre WannaCry Ahora” 20 de abril de, año 2019.https: // blog.
f-secure.com/what-you-need-to-know-about-wannacry-now
91 91
https://translate.googleusercontent.com/translate_f 78/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 107
4 Dailymail, “El asesino de gadgets: la unidad USB puede freír instantáneamente todo, desde su televisor hasta su
computadora enviando 220 voltios a través de ellos ”20 de abril de 2019 https://www.dailymail.co.uk/
sciencetech / article-3272862 / The-USB-drive-instant-FRY-TV-computer-shipping-220-
volts-them.html
92
108
• Asegúrese de que el sistema operativo del dispositivo y las aplicaciones instaladas estén actualizadas.
• Siempre instale aplicaciones de una fuente confiable (por ejemplo, Google Play para
Android y Apple Store para dispositivos Apple). Tiendas de aplicaciones de terceros
puede ser arriesgado
https://translate.googleusercontent.com/translate_f 79/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Conceder acceso a Google para escanear su dispositivo Android en busca de riesgos de seguridad.
• Al igual que los correos electrónicos recibidos en su computadora de escritorio o portátil, asegúrese de evitar
haciendo clic en enlaces sospechosos en correos electrónicos o mensajes SMS.
• Haga una copia de seguridad de los datos de su dispositivo móvil en un dispositivo de almacenamiento externo sin conexión
continuamente.
93
Page 109
• Use la utilidad Historial de archivos para hacer una copia de seguridad de sus carpetas importantes, como
como Escritorio, Contactos y Favoritos, a un medio extraíble o a
Una ubicación de red. También puede configurar la utilidad Historial de archivos
agregar / eliminar carpetas adicionales a la rutina de respaldo predeterminada por
haciendo clic en "Más opciones" (ver Figura 4-14)
https://translate.googleusercontent.com/translate_f 80/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
94
Page 110
• También puede usar la antigua utilidad de Copia de seguridad y restauración (Windows 7) para
crear una imagen completa del sistema de su unidad de Windows (y todo personal
archivos almacenados dentro de él) o para restaurar archivos de copias de seguridad de imágenes del sistema
creado en ediciones anteriores de Windows. Tenga en cuenta que si usted
tiene una copia de seguridad de la imagen del sistema, no puede restaurar archivos individuales
de eso.
95
Página 111
https://translate.googleusercontent.com/translate_f 81/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
2. Vaya a Sistema.
96
112
https://translate.googleusercontent.com/translate_f 82/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
La característica VSS es una buena característica de respaldo que permite a los usuarios de Windows ejecutar un silencio
servicio de respaldo mientras usa su computadora a plena capacidad. Sin embargo, tenga en cuenta que
VSS no está destinado a reemplazar la rutina de copia de seguridad de datos regular que debe configurarse para
ejecutar con frecuencia para hacer una copia de seguridad de sus datos importantes en una ubicación segura externa.
¡Propina! Para enumerar las instantáneas VSS disponibles en su máquina o recuperar un archivo específico o
carpeta de un antiguo punto de restauración de Windows, puede usar una de estas dos herramientas:
• ShadowCopyView (http://www.nirsoft.net/utils/shadow_
copy_view.html) enumera todos los puntos de restauración de su disco duro creados
por el servicio Volume Shadow Copy de Windows y le permite
extraer archivos / carpetas de cualquier instantánea (ver figura 4-16 ).
97
113
Figura 4-16. Uso de ShadowCopyView para enumerar / ver el contenido de los puntos de restauración existentes
en Windows
¡Advertencia! Las cepas modernas de ransomware de cifrado eliminan Volume Shadow Copies
instantáneas en la máquina víctima. recuperar instantáneas eliminadas no siempre es
posible y requiere el uso de herramientas sofisticadas como la que se usa en digital
examen forense.
https://translate.googleusercontent.com/translate_f 83/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
y fuentes externas. El proceso de endurecimiento de un cliente de Windows es diferente de un
Servidor de Windows, porque se usan en un contexto completamente diferente. En esta sección,
Doy consejos sobre cómo fortalecer una máquina Windows independiente. En el próximo capítulo, doy
consejos esenciales para implementar controles de seguridad en un contexto de entorno corporativo.
98
114
99
115 de 1189.
https://translate.googleusercontent.com/translate_f 84/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
disco duro, disco CD / DVD / Blu-ray o tarjeta SD en su máquina, Windows examinará
su contenido y muestra la ventana emergente de reproducción automática preguntándole qué acción desea
para realizar con los medios insertados.
La función de ejecución automática de Windows (la función de reproducción automática en Windows es parte de la ejecución automática)
está activado de forma predeterminada en ediciones anteriores de Windows, lo que permite la ejecución de programas maliciosos
desde un dispositivo externo tan pronto como se insertan en una computadora. Comenzando desde
Windows Vista, Microsoft redujo este riesgo de seguridad al mostrar el cuadro de diálogo Reproducción automática
cada vez que se inserta un medio extraíble y le pregunta al usuario qué quiere hacer con
eso. Aunque las ediciones modernas de Windows dejan de ejecutar AutoRun automáticamente, el usuario
aún está a un paso de ejecutar un programa potencialmente malicioso si seleccionan ejecutar un
programa en el cuadro de diálogo Reproducción automática. Por este motivo, es recomendable desactivar ambas funciones para
aumentar la protección contra un ataque de malware USB.
Para deshabilitar la función de reproducción automática en Windows (en las ediciones de Windows de la 7 a la 10),
vaya al Panel de control, seleccione Reproducción automática y desactive la casilla "Usar reproducción automática para todos los medios y
caja de dispositivos "; finalmente, haga clic en el botón Guardar (ver Figura 4-18)
100
Page 116
este riesgo, es muy recomendable que también desactive la función de ejecución automática. En el
siguiendo los pasos, le mostraremos cómo deshabilitar tanto AutoPlay como AutoRun usando
Política de grupo de Windows.
Para deshabilitar la reproducción automática mediante la directiva de grupo de Windows, haga lo siguiente:
https://translate.googleusercontent.com/translate_f 85/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-19. Acceso a las políticas de reproducción automática en Windows 10 usando el grupo local
Editor de políticas
101
Página 117
Figura 4-20. Deshabilitar la ejecución automática en Windows 10 mediante la directiva de grupo local
Ahora, para deshabilitar la función de ejecución automática, debe configurar otro elemento en
Políticas de reproducción automática. Haga doble clic en "Establecer el comportamiento predeterminado para la ejecución automática" a la derecha
cristal; en la ventana emergente, asegúrese de que esté habilitado como en la Figura 4-21. Finalmente, haga clic
Aplicar y luego OK.
https://translate.googleusercontent.com/translate_f 86/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
102
118
Figura 4-21. Evitar que Windows ejecute cualquier comando de ejecución automática
103
Page 119
https://translate.googleusercontent.com/translate_f 87/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
104
120
5) Haga clic en Aceptar para guardar los cambios (consulte la Figura 4-23 ) y reinicie
su máquina para que el cambio surta efecto.
https://translate.googleusercontent.com/translate_f 88/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Use un servicio VPN confiable antes de iniciar la sesión RDP. Si lo haces
No sé cómo seleccionar el mejor servicio VPN, escribí una guía detallada
sobre este tema en https://www.secjuice.com/how-to-choose-a-
virtual-private-network-vpn-provider / .
• Asegúrese de que su sistema operativo siempre esté parcheado y actualizado para evitar
explotar al protocolo RDP que puede resultar en comprometer su
sistema.
105
Page 121
SRP es una función de directiva de grupo disponible en todas las ediciones de Windows excepto Windows
Versiones caseras. SRP permite a los administradores crear un entorno restrictivo en el
Sistema operativo Windows para controlar la ejecución de aplicaciones y scripts no confiables. Por ejemplo,
Al usar SRP, puede controlar qué aplicaciones / scripts pueden ejecutarse desde cualquier directorio
dentro del sistema. Por ejemplo, puede usar SRP para decirle a Windows que ejecute programas
desde ubicaciones específicas como C: \ Windows, C: \ Archivos de programa y C: \ Archivos de programa
(x86) mientras evita esta funcionalidad en cualquier otro lugar.
Cuando el ransomware llega a un usuario que inició sesión con una cuenta estándar, generalmente copiará
en el directorio de inicio del usuario. Una cuenta estándar de Windows tiene permiso
escribir en directorios normales de Windows (p. ej., Windows, Archivos de programa y Archivos de programa
(x86)). En tal caso, los archivos descargados de Internet y los archivos adjuntos de correo electrónico en
Además de los archivos descomprimidos, generalmente se almacenan en la carpeta% APPDATA% debajo de la carpeta actual
directorio de inicio del usuario. Al habilitar la política SRP, puede evitar el ransomware y otros
los tipos de malware se ejecutan desde el directorio de inicio.
106
https://translate.googleusercontent.com/translate_f 89/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 122
Figura 4-24. Habilitación de SRP en la Política de grupo local (aplicable a todos los admitidos
Versiones de Windows)
3. Haga clic con el botón derecho en la carpeta Políticas de restricción de software y seleccione Nuevo
Políticas de restricción de software (ver Figura 4-25 ).
107
123
https://translate.googleusercontent.com/translate_f 90/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
108
Page 124
https://translate.googleusercontent.com/translate_f 91/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Usuario básico : Esto permite que el programa a ejecutar como un usuario que
no tiene derechos de acceso de administrador pero aún puede acceder
recursos accesibles para usuarios normales.
109
125
6. Para ver las rutas predeterminadas donde se puede ejecutar el software autorizado,
haga doble clic en la carpeta Reglas adicionales; encontrarás dos caminos
autorizado (C: \ = Windows y C: \ Archivos de programa). Todos los programas
almacenado dentro de estos dos caminos puede ejecutarse (ver Figura 4-28 ). Tú
puede agregar rutas / carpetas adicionales que podrán iniciarse
aplicaciones. Todo lo que necesita hacer es hacer clic con el botón derecho en Reglas adicionales
y seleccione Nueva regla de ruta (consulte la Figura 4-29 ). Ahora, en lo nuevo
Ventana de configuración de ruta de regla, ingrese la ruta o haga clic en Examinar
para seleccionar uno, y en el menú desplegable "Nivel de seguridad", seleccione
Sin restricciones (ver Figura 4-30) Para ejecutar programas desde cualquiera de estos
rutas adicionales, el programa sujeto debe cargar sus bibliotecas de
las rutas C: \ Windows \ y C: \ Archivos de programa \.
110
Page 126
https://translate.googleusercontent.com/translate_f 92/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-28. Carpeta Reglas adicionales que enumera las rutas predeterminadas configuradas para permitir
programas para ejecutar
Figura 4-29. Agregar nueva regla de ruta en la política SRP para anular el valor predeterminado
nivel de seguridad
111
Page 127
https://translate.googleusercontent.com/translate_f 93/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 4-30. Definir la nueva regla de ruta y especificar su nivel de seguridad; en esto
Por ejemplo, todos los programas almacenados dentro de la ruta especificada pueden ejecutarse sin restricciones
Si un usuario intenta ejecutar un programa desde una ruta no permitida, recibirá el error
mensaje mostrado en la Figura 4-31 .
112
Page 128
Figura 4-31. Mensaje de error para un programa que se ejecuta desde una ruta no permitida o
tener sus bibliotecas cargadas desde una ruta no permitida
¡Nota! Windows AppLocker es una nueva característica de seguridad para controlar software
uso en computadoras con Windows. introducido por primera vez en Windows 7, AppLocker
reemplaza la función de Políticas de restricción de software y generalmente se usa en empresas
ambientes. Aprenderá más sobre esto en el próximo capítulo.
Resumen
La defensa del punto final debe ser la primera línea en una estrategia de defensa multicapa. La mayoría de los usuarios
entiendo la palabra punto final como la última línea de defensa, pero esto es completamente incorrecto.
En los puntos finales, el usuario crea, procesa y almacena sus valiosos datos, convirtiéndolo en el
lugar preferido para que los cibercriminales comiencen su ataque y propaguen la infección a
otros lugares dentro de la red. Como el número de empleados que trabajan de forma remota o que usan
aumenta los puntos de acceso público WiFi para conectarse a su red corporativa, protección de
Los dispositivos de punto final se convierten en una prioridad aún mayor para las empresas.
En este capítulo, cubrí los pasos generales necesarios para proteger los dispositivos de punto final de
ataques de malware, centrándose en la amenaza del ransomware. La seguridad del punto final no está limitada
para instalar anti-malware y otro software de seguridad. Por ejemplo, hacer cumplir el software
https://translate.googleusercontent.com/translate_f 94/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
reglas, usar una cuenta con privilegios limitados, descubrir vulnerabilidades y crear
Asegúrese de que su sistema operativo y las aplicaciones de terceros requeridas estén actualizadas y actualizadas regularmente
reducirá enormemente la oportunidad de que los atacantes accedan a su red a través de
puntos finales
113
Page 129
Existen muchos proveedores de seguridad de puntos finales comerciales, muchos de los cuales
han desarrollado productos con capacidades avanzadas que superan el antivirus tradicional
soluciones Se recomienda proteger su dispositivo de punto final con un producto comercial
para usuarios individuales (especialmente aquellos con experiencia limitada en seguridad de TI) con el objetivo de tener
Protección avanzada contra los ciberataques sofisticados de hoy en día, mientras se aplica
Tales soluciones en las organizaciones necesitan una planificación cuidadosa. Las organizaciones también necesitan
compare las diferentes características de los productos para instalar el mejor para satisfacer sus necesidades.
En el próximo capítulo, continuaremos nuestra discusión sobre técnicas de protección para
evitar un ataque de ransomware, pero esta vez en un entorno empresarial.
114
130
CAPÍTULO 5
https://translate.googleusercontent.com/translate_f 95/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Defensa empresarial
Estrategias contra
Ataques de ransomware
Protección contra ataques de ransomware en el entorno corporativo
Los gobiernos y las redes corporativas son objetivos principales para los cibercriminales; ellos
contener valiosa información de propiedad como secretos comerciales e información financiera
o mantener información sensible de institutos gubernamentales como militares y diplomáticos
información. Dichas redes tienen grandes y diversas superficies de ataque, creando amplias
posibilidades de que los atacantes se cuelen.
El método antiguo de proteger las redes empresariales era implementar firewalls
en el perímetro de la red, aislando así las redes internas confiables que mantienen la empresa
datos y aplicaciones de los peligros de la red externa no segura (en otros
palabras, Internet). Este modelo de defensa era común hace diez años, pero con el
crecimiento explosivo de las comunicaciones por Internet y la tecnología de dispositivos móviles, empresas
ya no están operando solo en sus instalaciones. Hoy en día, la mayoría de las empresas conceden
acceso a su red interna a empleados remotos, socios y contratistas.
Obviamente, esto hace que asegurar el perímetro solo sea una solución obsoleta, ya que los intrusos pueden
ahora sobrepasa la seguridad del perímetro (el firewall tradicional) e infecta dispositivos de punto final
directamente (por ejemplo, cuando un empleado desprevenido abre un archivo adjunto de correo electrónico malicioso en
su puesto de trabajo).
El nuevo modelo de comunicación donde los usuarios remotos (ya sean clientes
o empleados) acceden a la red corporativa interna y utilizan sus aplicaciones abre el
puerta para todo tipo de ataques maliciosos y malware. Para contrarrestar esta amenaza, las empresas
115
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_5
Página 131
necesita implementar un nuevo tipo de estrategia de defensa que no se centre únicamente en asegurar
la puerta de enlace de su red, pero también asegura dispositivos de punto final, servidores, redes
dispositivos y datos, sin olvidar implementar la capacitación de concientización de seguridad para sus
usuarios finales. Una estrategia de defensa multicapa tan completa se conoce como defensa en
estrategia de profundidad (DiD).
DiD es una estrategia de defensa de ciberseguridad donde se encuentran múltiples capas de defensas
implementado para proteger los sistemas informáticos empresariales. Si una defensa falla, otra capa se intensifica
inmediatamente para contrarrestar el ataque. La arquitectura DiD aborda diferentes vectores de ataque
y trabaja para proteger todo el sistema de TI de los ataques internos y externos.
En este capítulo, cubro los principales elementos de seguridad que toda organización debería
considerar al proteger una red de ataques de malware, enfocándose principalmente en
Secuestro de datos. Según muchos estudios, sistemas operativos y aplicaciones obsoletas
siguen siendo las principales fuentes de violaciones de datos, así que empiezo hablando sobre este problema.
https://translate.googleusercontent.com/translate_f 96/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
aunque debería ser el primer elemento en cualquier plan de protección de ciberseguridad. Mantener
sistemas seguros contra ransomware y otros tipos de malware, las empresas deberían tener un
política rígida de administración de parches que define claramente los controles y restricciones de parches
para reducir las amenazas cibernéticas que afectan a los sistemas informáticos empresariales.
A medida que la tecnología continúa evolucionando diariamente, mantener actualizado un sistema de TI requiere
compromiso y planificación. La administración de parches es el proceso de mantener su funcionamiento
sistema, software instalado y otros servicios de TI actuales para evitar que los atacantes tomen
ventaja de cualquier vulnerabilidad de seguridad que pueda comprometer los sistemas. Parchear incluye
actualizar todos los dispositivos de activos digitales empresariales, incluidos los siguientes: dispositivos de red
(Puntos de acceso WiFi, enrutadores, firewalls, sistemas de detección de intrusos [IDS]), servidores, PC,
computadoras portátiles, impresoras, dispositivos de almacenamiento, teléfonos, tabletas, PDA) y cualquier conexión a Internet
dispositivo (dispositivos de Internet de las cosas [IoT]) además de sistemas operativos, aplicaciones instaladas,
soluciones antivirus, sistemas de bases de datos, software financiero, componentes de programas y
sistemas de gestión de contenidos (CMS).
116
Page 132
¡Nota! de acuerdo con un informe titulado "respuesta actual al estado de vulnerabilidad: parche
el trabajo exige atención "publicado por servicenow y el instituto ponemon que
aborda la importancia de la gestión de parches, "57 por ciento de los encuestados que
informó una violación dijo que fueron violados debido a una vulnerabilidad por la cual un
parche disponible pero no aplicado. 34 por ciento dice que en realidad sabían que eran
vulnerable antes de que ocurriera la violación ".1
La aplicación de parches no puede realizarse con unos pocos clics; las personas responsables de parchar los activos de TI
primero necesita identificar las actualizaciones / parches necesarios (el parche es simplemente una pieza de código).
Después de eso, deben instalar y probar estos parches en máquinas que no sean de producción (por ejemplo,
entornos virtualizados). Finalmente, pueden implementar estas actualizaciones en la producción.
sistemas y documentarlos.
Los siguientes son los componentes principales de cualquier política general de administración de parches:
• Los parches deben incluir todos los dispositivos con capacidad de Internet, redes
dispositivos, SO, todo el software instalado y aplicaciones de terceros,
firmware del dispositivo y todos los sistemas de información dentro de una organización.
• Los parches deben probarse primero en dispositivos que no sean de producción antes de ser
aplicado en sistemas de producción.
• Se debe hacer una copia de seguridad de los datos críticos antes de aplicar cualquier parche nuevo.
• Si hay una excepción para no implementar un parche (por ejemplo, sistemas heredados,
miedo a la inestabilidad y / o al tiempo de inactividad), el administrador de parches debería
justifique esto y plantee el problema al departamento de seguridad de la información.
1 Servicenow, "Respuesta actual del estado de vulnerabilidad: el trabajo de revisión exige atención", 25 de abril de
https://translate.googleusercontent.com/translate_f 97/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Https://www.servicenow.com/content/dam/servicenow-assets/public/en-us/doc- 2019
type / resource-center / analyst-report / ponemon-state-of-vulnerabilidad-response.pdf
117
Page 133
• Los usuarios remotos conectados a los sistemas de TI de una organización deben cumplir
a la política de administración de parches al actualizar y parchar sus
dispositivos para que sus dispositivos sean tan seguros como los administrados por la empresa
dispositivos.
• Para usuarios remotos, una política de parches puede incluir una lista de prohibidos
software que los usuarios no pueden instalar en sus dispositivos de punto final.
• La actualización periódica de una política de parches es imprescindible para mantenerse en línea con
gobierno y otros organismos de cumplimiento regulatorio.
¡Nota! Windows tiene una utilidad de parcheo incorporada para implementar la última versión de Microsoft
actualizaciones del producto llamadas servicios de actualización del servidor de Windows (wsU). está disponible
en todos los servidores de Windows OSS, pero su principal desventaja es que solo se ocupa de
productos de microsoft.
118
Page 134
Endurezca su entorno
En esta sección, hago recomendaciones para fortalecer el entorno de TI de su empresa,
haciéndolo más resistente a la infección por ransomware.
https://translate.googleusercontent.com/translate_f 98/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Seguridad física
La seguridad de los activos digitales (servidor, estación de trabajo, almacenamiento de respaldo, instalaciones de red,
y así sucesivamente) tiene la misma importancia para los datos almacenados en ellos. En seguridad informática,
Las medidas de precaución que restringen el acceso a las instalaciones, equipos y recursos.
que se conoce como la seguridad física . Por ejemplo, un actor malicioso puede superar todo el software
controles de seguridad (por ejemplo, antivirus, firewall, IDS) y propagación de ransomware en todo el
red empresarial si logran obtener acceso físico (por ejemplo, enchufar un
USB malicioso) a un dispositivo de punto final o a una máquina servidor. Estos son algunos consejos para
Garantizar la seguridad física de los equipos informáticos:
• Utilice sistemas de CCTV para monitorear su instalación de forma remota; las cámaras deberían
Cubra todas las áreas sensibles claramente.
• Restrinja el acceso a las salas de servidores y a cualquier área dentro de sus instalaciones.
sosteniendo equipos sensibles. Solo el personal de TI autorizado debe
tener acceso a tales áreas.
• No permita que sus empleados abandonen sus dispositivos de punto final (computadora portátil,
estación de trabajo o tableta) sin supervisión. Solicite a sus empleados que apaguen
su dispositivo o para bloquear su pantalla con una contraseña cuando están fuera.
• Mantenga los medios de almacenamiento de datos, como discos duros externos, unidades USB,
CD / DVD y cualquier medio de copia de seguridad fuera de la vista. Un almacenamiento central
El servidor debe almacenarse en la sala de servidores bloqueada.
• Dispositivos portátiles de computación para el usuario final (por ejemplo, tabletas, computadoras portátiles,
teléfonos inteligentes) deben almacenarse en un gabinete cerrado cuando no estén en uso.
119
135
• Hacer cumplir las reglas de seguridad física en todos los visitantes a sus instalaciones. por
Por ejemplo, los visitantes o contratistas deben usar una insignia para indicar su
trabajo y las áreas que están autorizados a ingresar dentro de la instalación.
Segmentación de red
La segmentación de red es una contramedida efectiva para luchar contra el ransomware ya que
reduce el impacto de la intrusión en la red y dificulta que un adversario encuentre y
acceder al segmento donde se almacena la información confidencial.
En la segmentación de red, divide una red grande en segmentos más pequeños usando
cortafuegos, enrutadores, redes de área local virtual (VLAN) y otras separaciones de red
técnicas Además de aislar datos confidenciales en segmentos seguros, red
la segmentación aumentará el tiempo necesario para que los atacantes descubran y mapeen el objetivo
red después de la intrusión, haciéndolos más susceptibles al descubrimiento por firewalls y
sistema de deteccion de intrusos.
Sin segmentación de red, si el ransomware compromete con éxito un
punto final, puede propagarse a todos los demás puntos finales conectados a la misma red
https://translate.googleusercontent.com/translate_f 99/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
(ver figura 5-1)
Figura 5-1. En una topología de red plana, infectar un punto final propagará
infección a todos los puntos finales conectados a la misma red LAN
120
Page 136
121
https://translate.googleusercontent.com/translate_f 100/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
137
Los programas anti-ransomware son comerciales, por lo que no recomendaré ningún producto;
sin embargo, asegúrese de comparar las características de los diferentes proveedores, lea el anterior
Revisiones de los clientes y verifique el acuerdo de licencia antes de comprar una solución.
Gestión de vulnerabilidades
Según la Organización Internacional de Normalización (ISO), una vulnerabilidad es
"Una debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas".
Desde una perspectiva de ciberseguridad, una vulnerabilidad es una debilidad en los programas de software que
permite que actores maliciosos comprometan un sistema informático.
La gestión de vulnerabilidades es la práctica de identificar vulnerabilidades en la computadora
sistemas y luego trabajando para eliminar los riesgos antes de que sean explotados por un malicioso
actor. Tener un programa de gestión de vulnerabilidades es esencial para todas las organizaciones.
queriendo proteger sus sistemas de TI de los ciberataques.
Normalmente hay cuatro etapas de cualquier programa de gestión de vulnerabilidades.
• Descubrimiento : Lista de todos los activos de TI (tanto de hardware como de software) dentro de
tu organización. Tener un programa de gestión de inventario de TI
simplifica esta tarea.
122
Page 138
https://translate.googleusercontent.com/translate_f 101/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
nessus https://www.tenable.com/products/ Comercial
nessus / nessus-professional
¡Nota! Se debe realizar un análisis de vulnerabilidad con frecuencia para evitar abandonar el
sistema vulnerable por un largo período de tiempo. Se prefiere un escaneo mensual para grandes
organizaciones.
123
Page 139
Las infraestructuras cada vez más complejas de los entornos de red actuales requieren
adoptando nuevas soluciones de firewall que utilizan la inspección de contenido de paquetes (entre otros
funciones avanzadas) para identificar el tráfico de la aplicación independientemente del puerto, protocolo o
cifrado utilizado
Los cortafuegos vienen en dos formas: software y hardware. Pequeñas empresas (diez
empleados o menos) pueden preferir instalar una solución de software. Sin embargo, administrarlo es
una tarea desalentadora, ya que necesita instalar un firewall en cada dispositivo. Un firewall de hardware es
preferible a la contraparte de software y necesita menos trabajo administrativo. tenga en cuenta
que el firewall de hardware no es solo una pieza de hardware, ya que necesita componentes de software
para hacer su trabajo
Para la mayoría de las empresas (incluso la pequeña), la solución ideal es tener un hardware
firewall instalado en el perímetro de la red. Servidores de seguridad modernos conocidos como la próxima generación
los cortafuegos (NGFW) vienen con herramientas de seguridad avanzadas como antivirus, anti
malware y herramientas antispam, y son compatibles con la red privada virtual (VPN)
conexiones además de todas las capacidades de la tecnología de firewall tradicional.
Usando un firewall NGFW, los administradores de red pueden identificar aplicaciones y
aplicar una política de seguridad de red para evitar que pasen aplicaciones no autorizadas
tráfico (por ejemplo, aplicar la lista negra y la lista blanca de una aplicación), además del bloqueo
cualquier protocolo que encuentren riesgoso y que cierren todos los puertos de red cuando no estén en uso para
evitar que las herramientas de escaneo de puertos descubran puertos abiertos. Por ejemplo, RDP, que
ha sido explotado por muchas cepas de ransomware, puede bloquearse por completo en todo el
red a través de un firewall.
¡Nota! Si sus usuarios necesitan acceso a PDR, asegúrese de que se conectan a través de un VPN seguro.
https://translate.googleusercontent.com/translate_f 102/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Muchos proveedores de firewall ofrecen dispositivos NGFW que vienen con intrusiones
sistemas de prevención y capacidades avanzadas anti-malware que usan firmas y
detección basada en heurística. Algunos productos NGFW se integran con Active Directory para
aplicar reglas de uso de la aplicación de firewall en usuarios individuales y grupos en Windows
entornos (esta característica se conoce como conciencia de identidad ). Los NGFW pueden fortalecer
defensas de redes empresariales contra ataques de ransomware.
124
140
125
https://translate.googleusercontent.com/translate_f 103/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
141
Muchos proveedores de IDS / IPS ahora están integrando IPS más nuevos con firewalls para crear un
tecnología de gestión unificada de amenazas (UTM). UTM combina las funciones de seguridad
de todas estas soluciones en un dispositivo en un solo punto de la red. UTM trae el
siguiente protección a redes empresariales:
• UTM proporciona filtrado web para evitar el acceso a sitios web no deseados.
• Los administradores de seguridad de red pueden administrar una amplia gama de seguridad
herramientas que usan una consola de administración.
¡Nota! Utilizar Utm para la defensa de la red no debería hacernos abandonar a otros
productos de seguridad (por ejemplo, instalación de software antivirus en dispositivos de punto final). Utilizando
un solo dispositivo para proteger toda la infraestructura de TI va en contra de una estrategia DiD,
lo que sugiere proteger las redes de computadoras con una serie de capas de defensa.
Los términos Utm y ngfw a menudo son utilizados como sinónimos por los clientes y
vendedores. comparten funciones comunes; sin embargo, son diferentes en términos de
Personalización y sencillez. por ejemplo, Utm es más fácil de administrar e implementar,
por lo que es una solución preferida para pequeñas y medianas empresas, mientras que ngfw
es más adecuado para grandes empresas que desean personalizar sus políticas de seguridad
y que tienen recursos adecuados y experiencia en seguridad para gestionar diferentes
Electrodomésticos de seguridad.
126
Page 142
Sandboxing de red
Los firewalls de última generación utilizan firmas y métodos de detección heurísticos con gran éxito.
para bloquear ataques de malware. Sin embargo, con un número cada vez mayor de amenazas, tales
los métodos de detección no son suficientes, especialmente al contrarrestar las amenazas de día cero o
ataques dirigidos
Hablé sobre la tecnología de sandboxing anteriormente. En el lado de la red, sandboxing
se está convirtiendo cada vez más en una capa de seguridad importante en el perímetro de la red. Red
el sandboxing funciona enviando archivos sospechosos a un entorno virtual aislado
(sandbox) para examinar su código. Si el archivo sujeto se encuentra malicioso, obtendrá
terminado; de lo contrario, se marcará como legítimo y se le permitirá pasar la red
perímetro.
Muchos proveedores de NGFW ofrecen una función de sandboxing en la nube por suscripción,
https://translate.googleusercontent.com/translate_f 104/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
donde se envían archivos sospechosos a la infraestructura de la nube para analizar sus comportamientos cuando
ejecutado. Con el aumento continuo de los ataques de ransomware, el sandboxing de red es
Un componente esencial de la defensa de la red para proteger contra todas las amenazas, ambas conocidas
y desconocido, antes de ingresar a la red interna. Debes asegurarte de que tu futuro
El firewall es compatible con la función de sandboxing.
¡Nota! los firewalls de última generación pueden combinar ips / iD y sandboxing de red en uno
unidad. siempre consulte la lista de características del firewall antes de comprar uno.
127
Page 143
configurado para bloquear el tráfico C&C de la botnet ransomware. Hay muchos sitios web que
Ofrecer listas de sitios conocidos de malware y phishing que pueden importarse al firewall para
terminar la conexión a sitios maliciosos. Los siguientes son los más populares:
• DNS-BH (http://www.malwaredomains.com/wordpress/?page_
id = 66 ): contiene listas de bloqueo de dominios de malware.
¡Propina! Usar un servidor proxy central para restringir el acceso a sitios y servicios en línea
de todas las computadoras que tienen acceso a internet a través de la red de una organización es
una contramedida imprescindible contra el phishing y otros sitios maliciosos. más
los programas antivirus tienen capacidades de filtrado y bloqueo web que pueden ser
configurado para restringir el acceso a sitios maliciosos en dispositivos de punto final también.
Debería considerar bloquear el acceso a la red tor (el enrutador de cebolla). muchos
Las cepas de ransomware utilizan la red tor como un canal de comunicación con su
Servidor C&C. elEl sitio web https://www.dan.me.uk/tornodes ofrece una lista de
https://translate.googleusercontent.com/translate_f 105/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
nodos tor (incluidos los nodos eXit) y se actualiza cada 30 minutos.
128
Page 144
Bloquear el acceso a los nodos tor no es suficiente para evitar que sus usuarios y posibles
el malware accede por completo a la red tor. Considera lo siguiente
medidas:
• Cree reglas de seguridad dentro de su firewall para evitar lo siguiente
aplicaciones para acceder a internet (tor, tor2web, ssh,
ssh-tunnel, como, ipsec-esp, http-proxy).
Crea Honeypots
Un honeypot es una trampa de sistema informático utilizada para engañar a los cibercriminales cuando intentan
obtener acceso no autorizado a los sistemas de información. Un honeypot se anuncia en línea como
un objetivo potencial de alto valor (por ejemplo, servidor de archivos o bases de datos) para delincuentes cibernéticos. Empresas
use honeypots para detectar o desviar intrusos para que no ataquen los sistemas reales. Un honeypot
También es utilizado por los centros de investigación de ciberseguridad para comprender cómo los nuevos ataques cibernéticos
son desarrollados y para aprender más sobre las nuevas técnicas de ataque empleadas por
ciberdelincuentes para realizar sus actividades maliciosas (ver Figura 5-3)
129 129
Page 145
https://translate.googleusercontent.com/translate_f 106/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Para protegerse contra el ransomware, una empresa puede configurar un servidor falso (el honeypot)
y llénalo con archivos sin importancia. Si el ransomware compromete con éxito el honeypot
máquina, se notificará al administrador del sistema para que tome las medidas necesarias (por ejemplo,
terminando la sesión del usuario o máquina que aloja el ransomware atacante).
Al verificar los registros de honeypot y monitorear el tráfico de red a dichos sistemas,
Los administradores de seguridad pueden comprender el comportamiento de los cibercriminales y
técnicas empleadas por ellos para penetrar en los sistemas. El valor más importante de
honeypot systems está examinando la efectividad de las medidas de seguridad aplicadas y
sabiendo cuál no funciona correctamente para mejorarlo.
130
Page 146
Monitorear la actividad inusual de la red puede revelar ciberataques avanzados como avanzado
amenazas persistentes (APT) y ransomware. Por ejemplo, tener tráfico originado en
un dispositivo de punto final, que generalmente se usa para acceder a Internet y al servidor CRM únicamente, para
otros puntos finales y al servidor de almacenamiento de archivos pueden indicar un ataque de ransomware que intenta
distribuido a través de la red empresarial, en tal caso, poner en cuarentena el punto final infectado
puede detener la propagación del ataque.
https://translate.googleusercontent.com/translate_f 107/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
a la red de una organización. Una investigación realizada por IBM en 2017 concluyó que
El 59 por ciento de los ataques de ransomware se realiza a través de correos electrónicos de phishing, y el 91 por ciento de todos
El malware se entrega a través de sistemas de correo electrónico.
Sin embargo, hay diferentes tipos de ataques de correo electrónico, desde un ataque de ransomware
perspectiva. El correo electrónico se puede utilizar para infectar sistemas con ransomware a través de dos
métodos.
• Los correos electrónicos de spam / phishing intentan convencer a un usuario para que haga clic en los enlaces dentro del
cuerpo del correo electrónico que contiene archivos maliciosos (por ejemplo, PDF, archivos ZIP, Word
documentos o JavaScript) o conducen a un alojamiento del sitio web comprometido
Un kit de exploits.
En esta sección, hablo sobre las medidas de seguridad necesarias que deberían ser
implementado por cualquier organización para proteger su red del ransomware entregado a través de
correo electrónico. Aplazo hablar sobre la seguridad del correo electrónico del usuario final hasta el próximo capítulo porque es
considerado parte de la capacitación de concientización sobre seguridad cibernética del usuario final.
131
Page 147
• Filtrado de direcciones IP : los correos electrónicos no deseados también se pueden filtrar de acuerdo con
Dirección IP del remitente.
• Prevenir la recolección de correos electrónicos : los spammers usan diferentes correos electrónicos
técnicas de recolección para recopilar direcciones de correo electrónico a granel de la web
páginas para usarlos más tarde en sus campañas de spam. Recolección por correo electrónico
Se puede evitar utilizando diferentes técnicas.
• Ofusque su dirección de correo electrónico para que sea legible para los humanos, pero
difícil de capturar por bots automatizados. Por ejemplo, use "nihad
en darkgate dot com "(nihad@darknessgate.com). Otro
técnica para ofuscar direcciones de correo electrónico (eso es demasiado difícil de
detectar por bots) es usar un esquema de correo electrónico y publicarlo en línea. por
ejemplo, una empresa puede denotar el siguiente esquema de correo electrónico en
su sitio web: "[Apellido]. [Nombre] @ darknessgate.com".
https://translate.googleusercontent.com/translate_f 108/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Es demasiado difícil para los bots leer el texto dentro de la imagen.
2 https://www.statista.com/statistics/420391/spam-email-traffic-share
132
148 de 1189.
• Usar formularios de contacto : al usar un formulario de contacto, el correo electrónico del destinatario
la dirección estará oculta en el código de fondo de la página web.
• Use una dirección de correo electrónico desechable : las personas no deben usar su dirección privada
o la dirección de correo electrónico del trabajo para registrarse con algunos servicios gratuitos en línea o para
recibir ofertas en línea (por ejemplo, descargar libros electrónicos gratuitos) para evitar exponerse
su correo electrónico real a los spammers. Si desea proporcionar su correo electrónico
dirección a un sitio en el que no confía, es recomendable usar un sitio temporal
dirección de correo electrónico que se puede configurar para durar un período específico
(por ejemplo, horas o incluso minutos). Hay muchos sitios que ofrecen tales
servicio como Guerrilla Mail (https://www.guerrillamail.com ) y
TempMail (https://temp-mail.org/en )
• Desactivar HTML en la recepción de correos electrónicos : leer su correo electrónico sin formato
el texto es una solución efectiva para evitar scripts incrustados en enlaces
e imágenes de ejecutarse tan pronto como abra el correo electrónico. Tambien es
aconsejable deshabilitar la ventana de vista previa de correo electrónico y "no permitir el control remoto
contenido "en el mensaje abierto en su cliente de correo electrónico (consulte la Figura 5-4 ).
Figura 5-4. Ver contenido remoto utilizando el cliente de correo electrónico Thunderbird
133
Page 149
técnica que evita que los spammers envíen correos electrónicos falsos
usando su nombre de dominio. SPF funciona comprobando la dirección IP
del remitente para asegurarse de que esté autorizado por el dominio emisor
nombre. DMARC es una tecnología basada en SPF para prevenir
https://translate.googleusercontent.com/translate_f 109/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
los ciberdelincuentes usan su nombre de dominio para enviar spam
y correos electrónicos de phishing. El estándar DKIM es como SPF; sin embargo, en cambio
de usar la dirección IP del remitente para validar la autenticidad del correo electrónico,
usa una firma digital para asociar un nombre de dominio con su reclamo
Mensaje de correo electrónico; DKIM funciona adjuntando la firma digital de un
nombre de dominio con cada mensaje de correo electrónico saliente enviado con él.
la mayoría de los usuarios de computadoras piensan que los archivos ejecutables (con una extensión .exe) son los únicos
tipo de archivo peligroso que deben evitar abrir cuando se reciben por correo electrónico.
Desafortunadamente, esta información no está completa, ya que hay una gran cantidad de tipos de archivos que
se puede usar para ejecutar código malicioso. Los siguientes son los formatos de archivo más peligrosos que
no debe abrirse cuando se envía como archivo adjunto:
eXe, msi, msp, pif, appLiCation, gaDget, hta, CpL, msC, Jar, CmD, VB, VBs, VBe, Jse, ps1,
ps2, msh, msh1, msh2, mshXmL, sCf, Lnk, inf, reg, Js wsC, wsh
134
Page 150
Los archivos de Microsoft Office pueden contener código malicioso en forma de macros. si un documento de oficina
la extensión termina con un .m, puede contener macros (por ejemplo, .docm, .xlsm y .pptm). Ten cuidado
no ejecutar macros de oficina enviados por remitentes desconocidos.
finalmente, no abra archivos zip protegidos con contraseñas (generalmente se envía una contraseña en el cuerpo
del correo electrónico). los atacantes usan este truco para evitar que el software antivirus investigue
archivo comprimido cifrado, que puede contener malware listo para ejecutarse después de abrirse.
https://translate.googleusercontent.com/translate_f 110/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
135
Page 151
Figura 5-5. Insertar una nueva etiqueta de metadatos en un documento de Microsoft Word para
categorizar un archivo de tema como Sensible
https://translate.googleusercontent.com/translate_f 111/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
136
Página 152
• No utilice la misma contraseña para dos cuentas (tenga dos correos electrónicos con
la misma contraseña)
137
Page 153
https://translate.googleusercontent.com/translate_f 112/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
capítulo, cubro el segundo mecanismo de seguridad para la lista blanca de aplicaciones, presentado
con versiones recientes de Windows (comenzando en ciertas ediciones de Windows 7), llamadas
AppLocker
¡Nota! Windows tiene un tercer mecanismo de seguridad para la lista blanca de aplicaciones
denominado Control de aplicaciones de Windows Defender (wDaC). wDaC viene con más
características avanzadas que srp y appLocker. por ejemplo, puede bloquear el ejecutable
archivos en el nivel del núcleo e implementar la lista blanca de aplicaciones más estrictamente. en
Además, a partir de Windows 10 versión 1703, wDaC se puede configurar para
controlar qué complementos se permiten / prohíben ejecutar en una aplicación específica.
wDaC se usa principalmente en un contexto empresarial donde el departamento de TI especifica
qué aplicaciones pueden ejecutarse en dispositivos de punto final de acuerdo con la empresa
Política de seguridad predefinida.
Windows AppLocker
Microsoft lanzó AppLocker como la próxima generación de la tecnología SRP; Viene
con muchas mejoras que superan SRP, como las siguientes:
• Tiene un modo de auditoría para que pueda probar la política antes de aplicarla.
138
Page 154
AppLocker restringe los ejecutables en función de los siguientes cuatro tipos de reglas: ruta
reglas, reglas de hash de archivo, reglas de editor y reglas de aplicaciones empaquetadas. Al igual que SRP, AppLocker puede
configurarse tanto en una máquina local (usando el Editor de directivas de grupo local) como en Grupo
Política (mediante la Consola de administración de directivas de grupo).
Para configurar AppLocker en una máquina local con Windows 10, haga lo siguiente:
https://translate.googleusercontent.com/translate_f 113/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
139
155 de 1189.
Figura 5-7. Acceder a las propiedades de aplicación de reglas de AppLocker; en mi caso soy
crear reglas para aplicaciones ejecutables
140
https://translate.googleusercontent.com/translate_f 114/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 156
4. Haga clic con el botón derecho en Reglas ejecutables en AppLocker en el panel izquierdo y
luego haga clic en Generar reglas automáticamente (ver Figura 5-8)
Figura 5-8. Generando automáticamente reglas de aplicación para todos los ejecutables usando
AppLocker
¡Nota! seleccione Crear reglas predeterminadas (figura 5-8 ) para crear reglas predeterminadas donde
los usuarios solo pueden ejecutar aplicaciones en C: \ Archivos de programa o ventanas
carpetas
141
Page 157
https://translate.googleusercontent.com/translate_f 115/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 5-9. Seleccionar la carpeta que contiene las aplicaciones que desea permitir
ejecutar y dar un nombre para identificar este conjunto de reglas
142
Page 158
7. AppLocker puede necesitar algo de tiempo para generar todas las reglas
según el número de aplicaciones en la carpeta especificada.
Después de terminar, aparece la página Revisar reglas; haga clic en Crear
botón para crear las reglas especificadas y cerrar el asistente.
https://translate.googleusercontent.com/translate_f 116/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
8. Aparece un mensaje emergente (consulte la Figura 5-11 ); presione Sí para continuar.
143
Page 159
Figura 5-11. Crear reglas predeterminadas haciendo clic en Sí para que los archivos importantes del sistema
aún puede ejecutarse (permitir la ejecución de aplicaciones en Windows y Archivos de programa
carpetas)
Figura 5-12. Las primeras tres reglas son las reglas predeterminadas, y la última es la carpeta
especificado que contiene las aplicaciones incluidas en la lista blanca
144
160 de 1189.
https://translate.googleusercontent.com/translate_f 117/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
10. Si desea cambiar el usuario o grupos de usuarios que una regla específica
se aplica a, haga clic derecho en la regla y seleccione Propiedades (ver Figura 5-13)
11. Finalmente, antes de que AppLocker haga cumplir las reglas, la Aplicación
El servicio de identidad debe iniciarse en cada dispositivo. Para comenzar el
Servicio de identidad de la aplicación, vaya a Herramientas administrativas ➤
Servicios identity Identidad de la aplicación y haga clic en el botón Inicio. Hacer
asegúrese de cambiar el tipo de inicio a Automático.
145
Page 161
Esta fue una introducción rápida a la configuración de AppLocker para controlar la aplicación
ejecución. La implementación de una tecnología de lista blanca de aplicaciones como AppLocker
ayudar de manera efectiva a las empresas a reducir los riesgos de seguridad cuando se ejecuta un usuario desprevenido
software malicioso sin darse cuenta.
Seguridad DNS
Ya cubrí diferentes soluciones y servicios de seguridad para bloquear el malware,
ransomware y otros sitios web maliciosos (por ejemplo, sitios web de phishing). Sin embargo, como
mencionado, una solución no es suficiente para mitigar tales amenazas. El enfoque preferido
es tener múltiples líneas de defensa para detener estos ataques y usar servidores DNS seguros para
uso tanto individual como corporativo. Esto agregará una capa adicional de protección a su
defensa contra ransomware.
Ransomware utiliza el Sistema de nombres de dominio (DNS) en diferentes etapas de un
ataque. Por ejemplo, el reconocimiento de DNS se usa durante los ataques dirigidos para obtener información
https://translate.googleusercontent.com/translate_f 118/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sobre la red de la empresa objetivo, como subdominios y servidores web. DNS es también
utilizado en el proceso de entrega de campañas de correo electrónico no deseado que llevan ransomware. Muchos
Las cepas de ransomware necesitan usar DNS para comunicarse con un servidor C&C. Por lo tanto,
El uso de servidores DNS seguros para bloquear actividades maliciosas es crucial para mitigar, detectar y
responder a tales ataques más rápidamente.
Existen diferentes proveedores de bloqueo de amenazas basados en DNS que ofrecen protección contra
malware, ransomware y tienen capacidades anti-phishing. Los siguientes son los más
los populares:
Las empresas deberían considerar tener un servidor DNS interno seguro o suscribirse a un
servicio DNS comercial de bloqueo de amenazas con capacidades más avanzadas que el servicio gratuito
proveedores para la máxima protección.
146
Page 162
¡Advertencia! Tenga en cuenta que los proveedores de Dns pueden interceptar toda su navegación web
historia. para tareas de misión crítica en una empresa, considere la implementación de un sistema autohospedado
servidor Dns que bloquea las amenazas.
Desinfección de datos
Los archivos adjuntos de correo electrónico y los archivos descargados de Internet se usan comúnmente como
Un vehículo para transportar código malicioso. Desinfección de datos (también conocida como desarme de contenido
y reconstrucción [CDR]) es una tecnología protectora anti-malware que asume todo
los archivos que ingresan a la red empresarial son maliciosos y eso funciona para desinfectar cada archivo
(eliminar código potencialmente malicioso) antes de pasarlo al dispositivo de punto final. Utilizando
un sistema de desinfección de datos en todos los puntos de entrada, como archivos adjuntos de correo electrónico, para web
descargas del navegador, e incluso en computadoras de punto final para desinfectar archivos transportados dentro de
Los dispositivos USB son una medida de protección esencial contra malware desconocido y otros
ataques avanzados que explotan vulnerabilidades de día cero.
¡Nota! Según Gartner, "a medida que mejoran las técnicas de evasión de sandbox de malware,
El uso de contenido desarmado y reconstrucción (CDr) en la puerta de enlace de correo electrónico como
aumentará el suplemento o la alternativa al sandboxing ".3
https://translate.googleusercontent.com/translate_f 119/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
implementado primero para mitigar los riesgos asociados con los dispositivos USB.
147
Page 163
• Todos los dispositivos USB deben analizarse primero en busca de malware en un entorno aislado
máquina antes de conectarlos a la red empresarial.
• Aplicar una política de uso de USB. Por ejemplo, permitir / prohibir el uso de USB
dispositivos basados en el rol del empleado en la empresa. La mayoría del personal
no necesita llevar aplicaciones ejecutables con ellos, por lo que
Los tipos de archivo deben estar bloqueados. Por otro lado, PDF y Microsoft
Los archivos de Office se usan comúnmente como vectores de ataque para transportar ransomware.
Estos tipos de archivos se utilizan ampliamente en organizaciones empresariales, por lo que
debería considerar desinfectar tales tipos de archivos para eliminar cualquier potencial
código malicioso antes de abrirlos en dispositivos de punto final.
148
Page 164
variante), ya que se sabe que Windows es un objetivo común para los ataques de ransomware. Datos
las copias de seguridad se deben realizar cada hora en el servidor de copias de seguridad local, y luego cada noche
a otro servidor de respaldo remoto que permanece en línea solo durante el respaldo; un tercio
https://translate.googleusercontent.com/translate_f 120/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
la copia de seguridad se debe realizar semanalmente en un medio de almacenamiento extraíble (por ejemplo, una unidad de cinta).
La integridad de los archivos de respaldo debe verificarse continuamente para asegurarse de que todos los archivos críticos
la información ha sido respaldada; También es importante probar el proceso de recuperación
regularmente para garantizar una alta disponibilidad en caso de que la necesite.
• Los datos en reposo son cuando los datos residen en unidades de almacenamiento como
bases de datos y servidores de repositorio de archivos.
• Los datos en tránsito son cuando los datos se mueven a través de la red corporativa.
y / o a redes externas como Internet usando correo electrónico, web
formularios o el tráfico generado por software malicioso.
• Los datos en uso son cuando los datos se procesan en dispositivos de punto final. Un usuario puede
filtrar datos mediante unidades USB, correo electrónico, FTP, transferencias de archivos a la nube,
y así.
La otra tarea principal de una solución DLP es evitar la pérdida de datos. En un ataque de ransomware,
los datos están encriptados y a los usuarios legítimos se les niega el acceso. La recuperación de cifrado
los datos pueden ser imposibles en muchos casos (por ejemplo, no puede recuperar archivos cifrados con
149
Page 165
• Spyshelter (https://www.spyshelter.com/security-test-tool):
Prueba el software de seguridad instalado para verificar su efectividad
malware que roba información.
https://translate.googleusercontent.com/translate_f 121/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• RanSim ( https://www.knowbe4.com/ransomware-simulator):
Descubre qué tan vulnerable es tu red contra el ransomware
y ataques de criptominería. Actualmente, simula 15 ransomware
escenarios de infección y un escenario de infección de cripto-minería.
• FortiGuard ( https://www.geckoandfly.com/24644/test-
seguridad antivirus): Prueba si la seguridad de su red puede capturar
malware oculto en un archivo comprimido.
150
Page 166
• Política de uso del correo electrónico : define las reglas y restricciones impuestas a
usuarios cuando usan el sistema de correo electrónico de la organización.
https://translate.googleusercontent.com/translate_f 122/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
151
Page 167
• Política de seguridad física : define los protocolos de acceso para los empleados.
y visitantes que ingresan a las instalaciones de la organización para evitar que no estén autorizados
personas de obtener datos confidenciales.
152
Page 168
Una política de seguridad es un elemento importante para cualquier organización que opere en la actualidad.
era de la información y que desean asegurar su entorno de trabajo tanto interno como interno
amenazas externas Independientemente del tamaño de una organización, tener una política de seguridad es
esencial para abordar todas las posibles amenazas de seguridad y sugerir contramedidas
antes de que ocurran. Toda organización necesita una política de seguridad por los siguientes motivos:
• Una política de seguridad ayuda a una organización a identificar los factores de riesgo.
en su trabajo Por ejemplo, el uso de contraseñas débiles puede provocar
comprometer las cuentas de correo electrónico de los empleados y, en consecuencia, filtrar
información sensible.
• Ayuda a los empleados de la organización a adquirir conocimientos de seguridad de TI, por lo tanto
Fortalecer una defensa de la organización contra los más prevalentes
ciberataques como ransomware y otros tipos de malware.
• ¡Aumenta los ingresos! Una organización que tiene una fuerte política de seguridad.
en el lugar puede obtener más acuerdos y acuerdos de asociación, como lo hará
posicionarse en el mercado como una entidad confiable que puede proteger a otros
datos de proveedores al trabajar con ellos.
• Una política de seguridad también aumentará la confianza de los clientes (por ejemplo,
asegurar la privacidad de sus datos personales), haciéndolos más dispuestos
hacer negocios con la organización.
• Puede minimizar las amenazas internas, como las fugas de datos y las corporaciones.
espionaje debido a los controles de seguridad forzados.
153
Page 169
Una política de seguridad proporciona un marco para manejar todos los aspectos de seguridad de un
organización y para definir las reglas que deben seguir todos los empleados para proteger
El activo de TI de una organización. Al redactar una política de seguridad para una organización, considere
funciones comerciales actuales, estructura organizacional, cultura organizacional y disponible
presupuesto. No escriba algo en su política que no pueda hacer cumplir. Por ejemplo,
prohibir el uso de dispositivos USB en su entorno corporativo no tiene valor si lo hace
no tiene las herramientas técnicas necesarias para detener dichos dispositivos.
Resumen
Nadie está aislado del riesgo de ataques de ransomware. Del usuario doméstico individual
a PYMES hasta las instituciones más grandes y agencias gubernamentales, ataques de ransomware
están aumentando en complejidad y son cada vez más capaces de explotar la red
y vulnerabilidades del sistema. En este capítulo, cubrí el lado empresarial de la protección
contra ransomware y otros ataques de malware. Redes corporativas y gubernamentales
https://translate.googleusercontent.com/translate_f 124/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
tener una gran superficie de ataque, y protegerla requiere un plan de seguridad integral que
emplea una estrategia de defensa en profundidad donde se implementan varios mecanismos de defensa
tanto en la red como en los dispositivos de punto final para proteger la infraestructura y la información de TI.
Se necesitan diferentes software, herramientas y dispositivos de seguridad para proteger a las empresas
redes de ataques de ransomware. No existe una solución única para detener estos ataques, pero
utilizando el software de seguridad y los dispositivos de seguridad de red adecuados y aplicando la seguridad
las reglas de política ciertamente reducirán este riesgo.
Instalación de soluciones de seguridad en puntos finales y uso de diversos dispositivos de seguridad en el
El perímetro de la red no es suficiente para defenderse de los ataques de ransomware. Un usuario final
la capacitación en concientización sobre ciberseguridad desempeña un papel crucial para determinar si un
El ataque de ransomware tendrá éxito, y esto es lo que cubro en el próximo capítulo.
154
Page 170
CAPÍTULO 6
Conciencia de seguridad
Formación
Mejores prácticas para implementar una conciencia de seguridad
Programa de entrenamiento
La ciberseguridad se ha convertido en un importante tema de discusión en estos días. Casi todos los días un
El nuevo ataque cibernético a una corporación, gobierno u otra entidad está en las noticias porque
resultó en millones de registros de clientes expuestos, credenciales robadas y
ataques de ransomware. Los cibercriminales se han vuelto cada vez más sofisticados y
Las amenazas de ciberseguridad se han intensificado rápidamente en los últimos años. Organizaciones empresariales y
Las agencias gubernamentales se han dado cuenta de la importancia de educar a sus empleados sobre
amenazas de ciberseguridad para salvaguardarlos.
Todos los estudios de seguridad relacionados con la infección por ransomware y otras infracciones de datos.
concluir que el error humano sigue siendo y seguirá siendo la mayor amenaza para
la seguridad cibernética. Tener un programa de concientización de seguridad cibernética en su organización es vital
para sobrevivir en la era digital de hoy y se considera la mejor manera de prevenir el ransomware
ataques y otras amenazas que emanan de todo el mundo.
Un buen programa de concientización sobre seguridad cibernética educará a los empleados sobre las diferentes
ciberamenazas que pueden enfrentar al usar el sistema de TI de una organización y cómo mitigar
y responder a estas amenazas. Todos los empleados deben saber qué puntos de entrada atacan
pueden usar para acceder a su red empresarial y qué pasos de precaución deben seguir
para evitar el acceso no autorizado a los activos de información. El programa de concientización de seguridad.
también debe hacer cumplir las reglas de política de seguridad de una organización y aclarar la seguridad de TI
responsabilidad de cada empleado de acuerdo con su rol laboral en la protección de la organización
activos de información y sistemas informáticos.
155
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_6
https://translate.googleusercontent.com/translate_f 125/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Página 171
¡Nota! Una violación de datos es cualquier incidente de seguridad que conduce a exponer personal
información de identificación (PII) de individuos a una parte externa. PII incluye el
siguiente y más:
• Números de seguro social
156
Page 172
https://translate.googleusercontent.com/translate_f 126/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
La capacitación en concientización de seguridad se vuelve obligatoria en muchas industrias para cumplir con
leyes gubernamentales o con otros organismos de cumplimiento no oficiales que trabajan para promover
mejores prácticas de seguridad de la información en su industria específica. Por ejemplo, la salud
La Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) exige que todas las organizaciones
trabajando en el sector de la salud (incluidas las oficinas de los médicos) implementar una seguridad
programa de capacitación para todos los miembros del personal para proteger la información del paciente. los
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) también impone
capacitación en conciencia de seguridad para todo el personal que trabaja en compañías financieras que almacenan y
procesar información financiera del cliente.
157
Page 173
https://translate.googleusercontent.com/translate_f 127/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Programa de concientización
Tener un programa de capacitación sobre conciencia de seguridad demostrará que su organización
está tomando en serio su seguridad. Además de ser requerido por muchos organismos de cumplimiento,
un programa de capacitación sobre conciencia de seguridad se convierte en la línea de defensa más importante de un
estrategia de defensa en profundidad para asegurar los datos de una organización tanto interna como interna
ataques externos
158
Page 174
Hay muchas áreas que debe considerar al desarrollar una conciencia de seguridad
programa de entrenamiento para su organización. Por ejemplo, desarrollar un programa de seguridad
cumplir con el estándar PCI-DSS es algo diferente de uno implementado para
cumplir con HIPAA, aunque ambos tienen como objetivo proteger los datos del consumidor, ya sea salud
o registros financieros. En este capítulo, no me enfocaré en los requisitos de una seguridad
programa de concientización para una regla de cumplimiento específica. En cambio, el enfoque estará en el listado
Los componentes principales de un programa general de capacitación en concientización de seguridad que pueden ser
implementado en cualquier organización que use sistemas de TI.
159
175 de 1189.
https://translate.googleusercontent.com/translate_f 128/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
• Todo el personal : los materiales de capacitación deben adaptarse de acuerdo con sus
rol laboral general, principalmente mitigando correos electrónicos de phishing y siguiendo
política de seguridad al usar sus dispositivos informáticos para acceder a
red corporativa, consultar correos electrónicos o conectar dispositivos USB a
máquinas de trabajo
¡Nota! Adaptar los materiales del programa de capacitación de concientización de seguridad de acuerdo con
la función laboral del empleado dentro de una organización ahorrará la capacitación de sus empleados
tiempo y reduzca los costos de capacitación para su organización.
160
Page 176
Los siguientes son los temas principales que deben abordarse durante una conciencia de seguridad
programa de entrenamiento:
https://translate.googleusercontent.com/translate_f 129/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sitios web (p. ej., revelando información confidencial sobre el trabajo y
vida personal que podría ser explotada por los atacantes).
• Seguridad de Internet : este tema debe incluir el correo electrónico y el navegador web
riesgos de seguridad y cómo evitarlos, instalando complementos de seguridad
para que su navegador web mitigue algunos riesgos en línea (por ejemplo, bloquear
publicidad maliciosa y emergente), utilizando diferentes servicios para revelar
sitios web maliciosos, que usan una VPN para proteger su tráfico en línea, y
Comprender cómo los atacantes pueden explotar las vulnerabilidades del navegador web
para obtener acceso no autorizado y cualquier cosa relacionada con la seguridad en Internet.
161
Page 177
162
Page 178
163
Page 179
164
Page 180
https://translate.googleusercontent.com/translate_f 132/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 6-1. Ejemplo de correo electrónico de phishing que muestra diferentes partes de cada correo electrónico
mensaje, descrito a continuación
• Verifique el asunto del correo electrónico. Los correos electrónicos de phishing suelen ser urgentes,
palabras amenazantes o aterradoras en la línea de asunto para convencer al destinatario
actuar con prontitud sin pensar. Por ejemplo, en la Figura 6- 2, tenemos
un correo electrónico de phishing con un tema amenazante. Segun Barracuda
Informe "Redes de suplantación de identidad: principales amenazas y tendencias" 3 de las redes , el más
Los temas de phishing de correo electrónico utilizados son los siguientes: solicitud, seguimiento,
Urgente / Importante, ¿Está disponible? / ¿Está en su escritorio ?, Pago
Estado, Hola, Compra, Factura vencida, Re :, Depósito directo, Gastos,
y nómina.
165
Página 181
Figura 6-2. Ejemplo de correo electrónico con el tema amenazante de cierre de cuenta
si. ¿La dirección de correo electrónico del remitente coincide con el remitente?
nombre (por ejemplo, nihad.hassan@darknessgate.com y un remitente
nombre de Nihad Hassan)?
re. Lea atentamente la dirección de correo electrónico del remitente y verifique cualquier
errores ortográficos en el nombre de dominio del remitente. Por ejemplo,
marketing@darknessgate.com puede estar mal escrito para convertirse
marketing@darknessgate.info (una extensión de dominio diferente)
o marketing@darknesssgate.com (una "s" adicional).
https://translate.googleusercontent.com/translate_f 133/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
166
Page 182
mi. Investigue el nombre de dominio del remitente para ver si está en la lista
como malicioso Hay muchos servicios gratuitos para verificar si
un nombre de dominio particular es malicioso, como se cubre en
capítulo previo. Sin embargo, los siguientes son web adicionales
sitios para buscar sitios web potencialmente maliciosos y de phishing
sitios:
v. AbuseIPDB (https://www.abuseipdb.com)
3: El campo "Para"
167
Página 183
• Verifique el tiempo de envío del correo electrónico. Si el correo electrónico pretende ser de su
empresa o banco, ¿lo enviaron durante el horario laboral oficial? Cheque
la fecha también, ¿lo enviaron durante las vacaciones? En figura 6-1) el
la hora de envío del correo electrónico era 3:16 am Obviamente, nadie enviaría correos electrónicos
https://translate.googleusercontent.com/translate_f 134/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
¡En ese tiempo!
5: Investigue el contenido del correo electrónico (cuerpo), las URL y cualquier archivo adjunto
• Pase el mouse sobre el hipervínculo en el cuerpo del correo electrónico para revelar el
dirección verdadera; para este ejemplo, apunta a otro dominio (https: //
tinyurl.com/yde7qbvd ) que no sea el que pretende ser
(Apple.com).
168
Page 184
• Lea el cuerpo del correo electrónico cuidadosamente. ¿El remitente menciona tu nombre?
o simplemente use un saludo genérico como "Estimado miembro" o "Estimado miembro
Cliente valioso"? Usar un saludo genérico es común en el correo no deseado
campañas porque los mensajes se envían de forma masiva y no abordan
una persona específica
https://translate.googleusercontent.com/translate_f 135/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
169
Page 185
• ¿Es común que el remitente le envíe un correo electrónico con archivos adjuntos? O
enviar archivos a través de servicios de redes sociales como Facebook? Si no entonces
Es más seguro no abrir dichos archivos antes de verificarlos con el remitente.
Como ya viste, el ransomware puede disfrazarse en Microsoft
Macros de Office, PDF, archivos comprimidos como ZIP y 7z, y algunos
tipos de archivos de imagen. Tales tipos de archivos son comunes en el negocio
mundo, y debe ser cauteloso al recibir dichos tipos de archivos a través de
adjuntos de correo electrónico.
• Los correos electrónicos comerciales generalmente contienen direcciones comerciales completas, incluyendo
un número de teléfono, en la firma de correo electrónico del remitente. Si sospechas que
firma contiene información falsa, asegúrese de visitar la empresa
sitio web para verificar la información. También debes evitar hacer clic
enlaces de redes sociales incluidos en la firma de correo electrónico a menos que confíes
el remitente.
170
https://translate.googleusercontent.com/translate_f 136/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 186
• Eduque a sus empleados sobre los ataques de phishing para que todos los miembros del personal
puede reconocer correos electrónicos de phishing y comprender los riesgos de seguridad
asociado con tales correos electrónicos.
• Asegúrese de que todo el tráfico con su correo web se realice a través de una red segura
conexión (certificado SSL).
• No acceda a su cuenta de correo electrónico utilizando puntos de acceso WiFi abiertos gratuitos
en lugares públicos. Si se encuentra en una situación en la que necesita usar
acceso gratuito a Internet, asegúrese de usar primero un servicio VPN confiable.
• Tenga mucho cuidado con los archivos adjuntos de correo electrónico y no abra
archivos adjuntos de remitentes desconocidos. Si necesita abrir un archivo o
ejecutar un programa enviado por correo electrónico, asegúrese de abrirlos / ejecutarlos
dentro de una máquina virtual como VirtualBox
(https://www.virtualbox.org/wiki/Downloads ).
• Use el teléfono para hablar con el remitente para confirmar cualquier correo electrónico sospechoso.
• Deshabilite HTML en su sistema de correo electrónico para evitar ejecutar cualquier código
en los correos electrónicos recibidos.
171
Page 187
https://translate.googleusercontent.com/translate_f 137/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
los bots de correo electrónico los recopilan automáticamente.
• Se asegura de que el sistema operativo de su dispositivo endpoint esté actualizado junto con su
soluciones de seguridad instaladas como antivirus, antispam y
antimalware
• Utilice la autenticación de dos factores cuando sea posible para evitar atacantes
de obtener acceso no autorizado a aplicaciones comerciales críticas.
• Use una contraseña segura para proteger su cuenta de correo electrónico; considera mi
consejos para crear contraseñas seguras en el Capítulo 5 .
• No utilice un servicio de correo electrónico gratuito para tareas de misión crítica. Correo electrónico gratuito
los proveedores monitorean el correo electrónico de los usuarios para dirigirse a ellos con personalización
anuncios publicitarios.
Page 188
¡Nota! Para obtener más información sobre cómo explotar las fuentes de OSInt para recopilar información, consulte
a mi libro OSInt titulado Herramientas y métodos de inteligencia de código abierto (Apress, 2018).
Como se mencionó, hay diferentes tipos de ataques de ingeniería social, y todos intentan
para explotar el "factor de error humano", que sigue siendo el elemento más débil en la computadora
seguridad, para obtener acceso no autorizado o para instalar malware en las máquinas de destino.
La capacitación en concientización de ciberseguridad para el usuario final se considera la mejor contramedida
contra tales ataques.
Resumen
Los empleados siguen siendo los activos más importantes de su organización. No educar
ellos sobre cómo identificar y responder a las amenazas de seguridad pueden tener un impacto devastador
sobre el trabajo y la reputación de su organización. Por lo tanto, es esencial para cualquier organización.
utilizando la tecnología de TI para tener una capacitación de concientización de seguridad que incorpore el
Pautas esenciales para prevenir y contrarrestar los incidentes cibernéticos.
https://translate.googleusercontent.com/translate_f 138/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
El desarrollo de un programa de capacitación de concientización sobre seguridad incurrirá en costos; sin embargo cuando
comparar este costo con las posibles pérdidas como resultado de una penetración exitosa en
el sistema de TI de su organización que puede provocar una violación de datos o una infección de ransomware,
entonces seguramente pagará el precio.
En seguridad informática, no existe una solución 100% infalible. Si sigues todos los
medidas preventivas en esta parte del libro y usted es víctima de un ataque de ransomware, luego
La siguiente parte de este libro le dirá cómo responder y recuperarse de tal incidente.
173
Page 189
PARTE III
https://translate.googleusercontent.com/translate_f 139/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 190
CAPÍTULO 7
Pagando el rescate
¿Deberías pagar?
• Paga el rescate.
La primera opción, eliminar la infección del ransomware utilizando herramientas especiales de descifrado,
será el tema del próximo capítulo; sin embargo, esta opción depende de la existencia de
Una utilidad de descifrado para el ransomware específico. La segunda opción es no hacer nada; en
En este escenario, pierde todos sus datos infectados y comienza desde cero. La tercera opción, que
está pagando el rescate, es el tema de este capítulo.
En este capítulo, muestro cómo evaluar si pagar un rescate. Este es un duro
pregunta porque depende en gran medida de cada caso. Tambien hablo de lo anonimo
métodos de pago empleados por los propietarios de ransomware cuando reciben dinero de sus
víctimas Obviamente, tener un sistema de pago seguro y anónimo en su lugar que no puede ser
rastreado es un elemento clave en el modelo de ataque de ransomware.
177
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_7
Page 191
https://translate.googleusercontent.com/translate_f 140/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
¡Nota! Algunas empresas prefieren pagar el rescate para restaurar sus servicios como
lo más rápido posible para limitar el tiempo de inactividad, a pesar de tener las copias de seguridad necesarias para
restaurar sus operaciones normales.
Los creadores de ransomware generalmente solicitan rescates bajos de víctimas individuales, generalmente
entre $ 300 a $ 2,000 USD. Algunas variantes de ransomware solicitan más (alrededor de $ 286,000
como con el ransomware Ryuk y hasta $ 600,000 como con el caso de Riviera Beach City,
Florida 1), especialmente en ataques a medida contra objetivos de alto valor cuando cientos de
Las máquinas, el almacenamiento y los centros de datos están infectados.
Pagar un rescate puede considerarse una solución rentable al problema. por
ejemplo, los costos de recuperación del ransomware SamSam que golpeó la ciudad de Atlanta
en marzo de 2018 puede superar los $ 17 millones, según un informe obtenido por Atlanta
Journal-Constitution y Channel 2 Action News. 2 Este número es enorme en comparación con
el pago del rescate, que valía $ 50,000 Bitcoin en ese momento.
1 Asuntos de seguridad, “La Riviera Beach City paga $ 600,000 en rescate” 26 de junio de 2019
https://securityaffairs.co/wordpress/87381/breaking-news/riviera-beach-
city-ransomware.html
2 AJC, "INFORME CONFIDENCIAL: el ciberataque de Atlanta podría costar a los contribuyentes $ 17 millones"
15 de junio de 2019 https://www.ajc.com/news/confidential-report-atlanta-cyber-attack-
could-hit-million / GAljmndAF3EQdVWlMcXS0K /? icmp = np_inform_variation-control
178
192
Teniendo en cuenta todas estas cosas, una víctima puede sopesar las posibilidades y seleccionar el
La mejor opción que refleja las condiciones actuales. Pagar un rescate puede ser lo único posible
solución para restaurar datos bloqueados en muchos casos. En esta sección, discuto los diferentes
métodos de pago utilizados por los autores de ransomware para recibir rescates de sus víctimas.
Pagos anónimos
Los propietarios de ransomware utilizan diferentes métodos de pago anónimos para recibir sus fondos.
El método más popular y sin riesgos es la criptomoneda, que se cubre a continuación.
Criptomoneda
Este tipo de sistema de efectivo digital está diseñado para funcionar como medio de intercambio utilizando
protocolos criptográficos para asegurar la transacción y controlar la creación de
unidades adicionales de moneda. No hay una autoridad central, o servidor principal, que
rige el uso y la creación de criptomonedas. Las personas pueden usar criptomonedas para comprar
productos y servicios además de intercambiarlo de forma privada y anónima sin
revelando su verdadera identidad.
Bitcoin fue la primera criptomoneda descentralizada, que apareció en 2009, y sigue siendo
La moneda dominante en términos de uso y capitalización. También se considera el
método de pago preferido para que los delincuentes reciban sus fondos de rescate, por lo que será el
foco de esta sección.
Bitcoin
Bitcoin sigue siendo la criptomoneda más popular para pagos de ransomware. Conforme
a "Coveware,El 3 por ciento de los ataques de ransomware solicitan el pago a través de Bitcoin.
Bitcoin ( https://bitcoin.org ) es un innovador protocolo de Internet de código abierto que
utiliza un hash criptográfico SHA-256. Fue creado por un desarrollador de software japonés
llamado Satoshi Nakamoto. Bitcoin es una red descentralizada de pagos entre pares
https://translate.googleusercontent.com/translate_f 141/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
(similar a las redes de intercambio de archivos como Torrent) que funciona con sus usuarios sin
autoridad central (p. ej., banco central del gobierno) o intermediario. Bitcoin es un efectivo digital
sistema; no se imprime como moneda corriente y es creado por personas y corporaciones
3 Coveware, "Las cantidades de rescate aumentan un 90% en el primer trimestre a medida que aumenta Ryuk", 13 de junio de 2019
https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-
ransomware-aumenta
179
Página 193
Para pagar a través de Bitcoin, debe tener una cuenta de Bitcoin llena con la moneda de Bitcoin,
cubierto a continuación.
Al igual que con una cuenta bancaria tradicional, necesita un número de cuenta de Bitcoin para enviar o
recibir fondos hacia o desde él. En términos de Bitcoin, esto se llama una dirección . Una dirección de Bitcoin es un
Token de un solo uso que se ve así: 14r9k2Rq2PZhGRc7dsi2j1KQ7fJEZwbcVe.
No hay límite en la cantidad de direcciones de Bitcoin que puede tener cada usuario, y todas
Estas direcciones se almacenan en la billetera Bitcoin de un usuario.
Una billetera Bitcoin es un programa de software que se puede instalar en su computadora o
teléfono inteligente como una aplicación; la billetera se usa para crear una dirección de Bitcoin, enviar y recibir
Bitcoin, y realice un seguimiento de su historial de transacciones de Bitcoin. Puedes descargar el oficial
Programa de billetera Bitcoin de https://wallet.bitcoin.com .
Además, muchos servicios en línea ofrecen un servicio de billetera Bitcoin para invertir y
almacenar criptomonedas. En https://www.blockchain.com/wallet , puede registrarse para
una nueva billetera de Bitcoin ingresando un correo electrónico y una contraseña válidos (esta contraseña es para acceder
tu billetera Bitcoin). Para ver su dirección de Bitcoin, inicie sesión en su cuenta de billetera y haga clic en
el botón Solicitar (ver Figura 7-1 ).
180
Página 194
https://translate.googleusercontent.com/translate_f 142/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
181
Página 195
Comprar Bitcoin
Ahora que tiene una cuenta de Bitcoin, necesita alimentarla con efectivo para pagar los bienes y
servicios, ¡y posiblemente rescates! en Bitcoin. Tenga en cuenta que Bitcoin es una forma de moneda,
para usarlo, primero debe comprarlo con dinero tradicional (por ejemplo, dólares estadounidenses o euros). En esto
En la sección, enumero diferentes métodos para financiar su billetera Bitcoin recién creada con efectivo.
Si está siguiendo y ha creado su billetera en Blockchain.com, puede
obtenga la moneda de Bitcoin iniciando sesión en su billetera de Bitcoin y luego haciendo clic en Comprar y vender
opción en el lado izquierdo de la página (ver Figura 7-2 ). Actualmente, Blockchain.com trabaja con
intercambiar socios en todo el mundo; selecciona tu país del menú desplegable
y haga clic en el botón Siguiente para continuar (ver Figura 7-2 ).
https://translate.googleusercontent.com/translate_f 143/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Figura 7-2. Seleccionar el país donde reside para ver los socios disponibles para comprar
y vender Bitcoin
La siguiente ventana creará una cuenta para usted en el socio de intercambio de Bitcoin que
seleccionas en el primer paso; complete su dirección personal y de correo electrónico y luego haga clic en Continuar
para proceder. En la siguiente ventana, debe ingresar una identificación gubernamental válida para autenticar
sus datos con la empresa de intercambio de socios. Sigue los pasos para ser verificado.
Después de verificar su identidad, puede especificar la cantidad de Bitcoin que desea
compre desde el botón Comprar y Vender, pague usando una transferencia bancaria o un crédito / débito
tarjeta y guárdelos en su billetera Bitcoin.
182
Página 196
Obviamente, cuando use el método anterior para comprar Bitcoin, revelará su verdadero
identidad mientras usa su cuenta bancaria o tarjeta de crédito / débito para comprar Bitcoin.
Sin embargo, si desea comprar Bitcoin de forma anónima, aquí hay algunas alternativas,
métodos anónimos:
• Cajeros automáticos : puede comprar Bitcoin de forma anónima con efectivo utilizando
Cajeros automáticos de Bitcoin; hay aproximadamente 1,400 cajeros automáticos
en todo el mundo, pero estas máquinas no están disponibles en todas partes. Bitcoin
Los cajeros automáticos le permiten generar una nueva dirección de Bitcoin si
no suministre uno, y esta nueva dirección se imprimirá en papel.
Luego puede tomar este documento e importar las claves privadas en
su servicio en línea de billetera electrónica o software de cliente de Bitcoin. Para encontrar cajero automático
máquinas que admiten Bitcoin, vaya a https://coinatmradar.com.
Desde aquí puede seleccionar su país / ciudad y ver una lista de cajeros automáticos
junto con sus ubicaciones físicas; puedes comprar el Bitcoin de
Estas máquinas utilizan efectivo.
https://translate.googleusercontent.com/translate_f 144/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
183
Page 197
¡Nota! no es aconsejable almacenar una gran suma de dinero en su billetera Bitcoin, incluso
aunque está utilizando la versión de billetera de software, ya que el precio de Bitcoin tiene un alto
tasa de fluctuación en comparación con las monedas tradicionales. siempre puedes comprar Bitcoin usando
cualquiera de los métodos ya descritos para financiar su billetera cuando necesite usarla.
Realizar pagos
Después de tener moneda en su dirección de Bitcoin, está listo para realizar compras en línea.
o enviar pagos a otras cuentas de Bitcoin. Para hacerlo, sigue estos pasos:
2. Vaya al sitio web que utilizó para obtener su dirección (en mi caso
https://blockchain.com) Acceda al tablero de su billetera y
haga clic en el botón Enviar (ver Figura 7-3)
Página 198
https://translate.googleusercontent.com/translate_f 145/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
notado, es sencillo.
¡Advertencia! cifre su conexión en línea (por ejemplo, utilizando un servicio Vpn) antes
haciendo un pago anónimo.
185
Page 199
186
Página 200
Existen diferentes tipos de tarjetas de regalo prepagas. Lo que nos importa para esto
la discusión es del tipo anónimo, que es la tarjeta "no recargable". Tajetas prepagadas
(el tipo no recargable) están disponibles en casi todas partes, desde farmacias hasta
supermercados Puede comprarlos en efectivo (no rastreable) sin proporcionar ningún
información personal o información de contacto.
Como se mencionó, Bitcoin seguirá siendo el método de pago sin riesgo preferido para
delincuentes para recoger sus rescates en el futuro previsible.
¡Advertencia! pagar rescates puede violar ciertas leyes en su país, como rescate
los pagos pueden ir a financiar otras actividades ilegales (por ejemplo, comprar drogas o armas)
de organizaciones criminales / terroristas.
En los países desarrollados, existe una autoridad especial para informar ransomware y otros
Ataques ciberneticos; sin embargo, si se encuentra en un país donde no sabe dónde
informar ataques de ransomware, luego simplemente vaya al departamento de policía más cercano para informar
incidente, y escalarán el incidente al departamento apropiado.
Las siguientes son las principales autoridades en países seleccionados para reportar ransomware
incidentes
https://translate.googleusercontent.com/translate_f 147/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
187
201
Para informar el cibercrimen en línea para otros países de la UE, consulte el sitio web de Europol
( https://www.europol.europa.eu/report-a-crime/report-cybercrime-online ).
188
Página 202
Por supuesto, cuando los datos de su empresa están encriptados y no tiene los datos necesarios
copia de seguridad para restaurar las operaciones, pagar el rescate será la opción más fácil de deshacerse de
el problema, por lo que es posible que no le importen todas estas otras consideraciones. Sin embargo, manténgase en
Tenga en cuenta que siempre hay una solución alternativa, y no debe pagar el rescate
antes de evaluar todas sus opciones disponibles.
Resumen
https://translate.googleusercontent.com/translate_f 148/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Cada incidente de ransomware es único, por lo que no puedo dar consejos específicos para manejar todos
ataques de ransomware. En este capítulo, evaluó si pagar un rescate, teniendo en cuenta
cuenta todas las opciones posibles. Si recibe un ataque de ransomware, no se asuste. Buscar
ayuda de firmas especializadas o de sus colegas experimentados e informe el incidente
a las autoridades. Asegúrese de realizar una búsqueda en línea para obtener más información sobre
la tensión del ransomware y ver cómo otras personas han manejado un ataque similar.
Siempre es aconsejable no pagar el rescate, aunque esto pueda resultar en problemas
tu negocio; recuerde, no hay garantía de que los operadores de ransomware respeten
Su promesa y entregar la clave de descifrado después del pago. Pero si decides pagar el
rescate, ahora sabes cómo usar Bitcoin y otros métodos de pago anónimos
para hacer el pago Después de pagar el rescate, debe limpiar su sistema operativo y
aplicaciones después de recuperar sus datos importantes, ya que los operadores de ransomware podrían plantar
otro ransomware en su sistema y red para lanzar futuros ataques.
En el próximo capítulo, verá cómo puede recuperarse de los incidentes de ransomware sin
pagar un rescate mediante el uso de herramientas de descifrado disponibles y algunas técnicas alternativas.
189
203 de 1189.
CAPÍTULO 8
Secuestro de datos
Herramientas de descifrado
Eliminar la infección del ransomware sin pagar el rescate
Como se mencionó en el capítulo anterior, si no tiene una copia de seguridad, si su computadora obtiene
infectado con ransomware, tiene tres opciones para seleccionar.
• Paga el rescate.
https://translate.googleusercontent.com/translate_f 149/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sus datos infectados después de pagar la demanda de rescate1 ) Sin embargo, una víctima puede no tener
la copia de seguridad necesaria para restaurar los archivos infectados. Esto deja una opción posible para
restaurar datos infectados, que es utilizar un descifrador de terceros.
Ya sea que tenga una copia de seguridad de los datos infectados o no, debe realizar un en línea
busque para ver si el ransomware que golpeó su sistema ya tiene un descifrador.
A veces, restaurar los datos de la copia de seguridad puede perturbar su trabajo, ya que necesita algo de tiempo para
completar. Usar un descifrador confiable puede ser una solución más eficiente.
191
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_8
204 de 1189.
• ID Ransomware ( https://id-ransomware.malwarehunterteam.com ):
Este es un servicio gratuito que identifica el tipo de ransomware que infecta
tu computadora. Detecta más de 726 tipos de ransomware y
informa al usuario si hay un descifrador o un método para descifrar el
datos infectados Para usar este servicio, simplemente suba la nota de rescate o
cargar un archivo cifrado de muestra al servicio, y determinará
El tipo de ransomware para ti.
https://translate.googleusercontent.com/translate_f 150/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
205 de 1189.
Remoción manual
Puede intentar eliminar manualmente el ransomware de bloqueo de pantalla reiniciando su
PC con Windows en modo seguro. Este modo solo permite aplicaciones y servicios confiables para
comienzo. Ahora instale un producto antimalware o actualice el instalado, y realice un
escaneo completo para deshacerse del ransomware.
También puede intentar restaurar su sistema operativo a un estado anterior utilizando el sistema de Windows
Función de restauración. Si no sabe cómo restaurar su computadora con Windows, How-To
Geek tiene una guía para esto en https://www.howtogeek.com/howto/windows-vista/using-
windows-vista-system-restore .
193
206 de 1189.
https://translate.googleusercontent.com/translate_f 151/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
CryptXXX V4, CryptXXX V5, CryptoMix, Cryptokluchen, DXXD,
Daño, Democry, Derialock, Dharma, EncrypTile, Everbe,
FenixLocker, FilesLocker versiones 1 y v2, Fury, GandCrab (V1,
V4, V5, V5.1 y V5.2), GetCrypt, Globe, Globe / Purge,
Globe2, Globe3, GlobeImposter, Gomasom, HKCrypt, HiddenTear,
InsaneCrypt, JSWorm 2.0, Jaff, Jigsaw, LECHIFFRE, LambdaLocker,
Lamer, Linux.Encoder.1, Linux.Encoder.3, Lortok, MacRansom,
Marlboro, Marsjoke, alias Polyglot, MegaLocker, Merry X-Mas,
MirCop, Mole, Nemucod, NemucodAES, Nmoreira, Noobcrypt,
Ozozalocker, ransomware PHP, Pewcrypt, Filadelfia, Planetario,
Pletor, palomitas de maíz, Pylocky, Rakhni, Rannoh, Rotor, SNSLocker, Shade,
Simplocker, Stampado, Teamxrat / Xpan, TeslaCrypt V1, TeslaCrypt
V2, TeslaCrypt V3, TeslaCrypt V4 Thanatos, Trustezeb, Wildfire,
XData, XORBAT, XORIST y ZQ. Este sitio web ofrece una guía práctica
para cada descifrador de ransomware enumerado para informar al usuario cómo
eliminar de forma segura la infección de su máquina. No más rescate es
un sitio importante (es una iniciativa del National High-Tech Crime
Unidad de la policía de los Países Bajos, el cibercrimen europeo de Europol
Center y McAfee) que pueden identificar el tipo de ransomware en
Además de ofrecer un descifrador si hay uno disponible. Siempre comienza
su búsqueda de un descifrador de ransomware en el sitio No More Ransom.
194
207 de 1189.
• Avast ( https://www.avast.com/ransomware-decryption-tools ):
Este sitio tiene herramientas de descifrado de ransomware gratuitas para lo siguiente
tipos de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock,
Bart, BigBobRoss, BTCWare, Crypt888, CryptoMix (sin conexión),
CrySiS, EncrypTile, FindZip, GandCrab, Globe, HiddenTear,
Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker,
TeslaCrypt y XData.
https://translate.googleusercontent.com/translate_f 152/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
y Harasom
195
Page 208
• KnowBe4 (https://blog.knowbe4.com/are-there-free-
descifradores de ransomware ): enumera más de 100 ransomware gratis
herramientas de descifrado
¡Advertencia! después de infectarse con ransomware, los usuarios sin experiencia pueden
iniciar su computadora en modo seguro y realizar un análisis antivirus completo para eliminar el
Secuestro de datos. Al hacer esto, eliminarán el ransomware de su máquina,
pero los archivos infectados seguirán encriptados. El problema aquí es que perderán el
capacidad de pagar el rescate. Haga esto solo si está decidido a no pagar el rescate.
¡Nota! si no puede encontrar un descifrador para el ransomware que infecta su computadora,
luego intente buscar en internet usando Google. Por ejemplo, si la extensión de su
los archivos se cambiaron después de la infección a una extensión .Codnat, luego busque eliminar
codnat ransomware .
Puede buscar los últimos descifradores de ransomware en Twitter escribiendo el
siguiente en el cuadro de búsqueda: descifrador #ransomware desde: 14/06/2019.
(la sección de fecha en el ejemplo es la fecha de inicio y se puede cambiar para obtener el
últimos tweets sobre descifradores de ransomware).
196
Página 209
https://translate.googleusercontent.com/translate_f 153/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
197
Página 210
Si usa alguna de las herramientas anteriores y aún no puede recuperar algunas, o incluso
todos — de sus datos, entonces no se asuste. Busque ayuda de profesionales forenses digitales
examinador para investigar la unidad infectada y verificar la posibilidad de recuperación de datos.
¡Nota! El tema del análisis forense digital se ha integrado en todas las computadoras
dominios de seguridad si es un recién llegado a este campo y quiere entender cómo
Las técnicas forenses digitales se pueden utilizar para investigar ataques de ransomware y
recuperar archivos borrados, luego te aconsejo que tomes mi libro Conceptos básicos de análisis forense digital
(apress, 2019).
https://translate.googleusercontent.com/translate_f 154/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
vectores de ataque que vendrán en el futuro. Es por eso que las organizaciones deben tener alguna idea
en lo que está sucediendo en general en el ámbito del ransomware. Esta inteligencia de amenaza cibernética
proporciona información procesable sobre actores de amenazas y señales de alerta temprana de
ataques de ransomware, lo que permite a las organizaciones fortalecer sus ciberdefensas contra todos
vectores de ataque crítico
Tener una fuente confiable y actual de información sobre amenazas cibernéticas ayudará a los equipos de seguridad
para responder de manera más eficiente a un ataque de ransomware y para encontrar la información requerida
mas rapido. Algunas organizaciones incluso están incorporando feeds de inteligencia sobre amenazas cibernéticas
en su red directamente para que puedan reaccionar de inmediato a las amenazas emergentes.
Varias organizaciones ofrecen información de inteligencia sobre amenazas cibernéticas. Los siguientes son los
los más populares:
198
Página 211
https://translate.googleusercontent.com/translate_f 155/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
199
Página 212
¡Nota! Las organizaciones empresariales también pueden usar la información recopilada a través de
intercambio de información y centros de análisis (isaCs). estas son organizaciones sin fines de lucro
especializado en recopilar información sobre diferentes amenazas cibernéticas y sugerir
prevención y mejores prácticas para contrarrestar tales amenazas. los isaC también fomentan el intercambio
de información recopilada entre los sectores público y privado.
la agencia de la Unión Europea para la Ciberseguridad (enisa) ha publicado un estudio sobre
isaCs en europa. puedes descargarlo desde https://www.enisa.europa.eu/
publicaciones / intercambio de información y análisis-center-isacs-
modelos cooperativos . para encontrar una lista de isaCs agrupados por industria en las unidades
estados, ve a https://www.nationalisacs.org .
Aquí hay otros sitios web útiles para obtener información sobre ransomware
vectores de ataque y estrategias de mitigación:
• FireEye (https://www.fireeye.com/blog/threat-research.
html / category / etc / tags / fireeye-blog-tags / ransomware): Esta
contiene investigación de amenazas sobre ransomware.
• Emsisoft (https://blog.emsisoft.com/en/category/protection-
guías / spotlight-ransomware): Esta es una serie de varias partes que cubre
todos los aspectos del ransomware, desde vectores de infección, cifrado y
pago a la mejor manera de eliminar el ransomware una vez en el sistema.
• knowbe4 ( https://info.knowbe4.com/ransomware-hostage-
rescate-manual-0): Este es el Manual de rescate de rehenes de Ransomware.
200
Page 213
Resumen
Las herramientas de descifrado de ransomware le permiten recuperar archivos cifrados con ransomware
https://translate.googleusercontent.com/translate_f 156/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
sin pagar el rescate. No existe un descifrador general para todas las infecciones de ransomware,
ya que cada variante de ransomware requiere su propio descifrador. Los descifradores de ransomware son fáciles
para usar por usuarios ocasionales, y la mayoría de ellos son gratuitos. Sin embargo, algunos tipos requieren el
usuario para tener algunas habilidades técnicas para descifrar archivos infectados.
A medida que los ataques de ransomware se vuelven más frecuentes y tienen importantes consecuencias legales y
riesgos financieros para individuos y organizaciones, la necesidad de una respuesta de ransomware
El plan es crucial para cualquier organización que quiera saber qué hacer en caso de una
ataque exitoso de ransomware; Este es el tema del próximo y último capítulo de este libro.
201
Página 214
CAPÍTULO 9
Respondiendo
a los ataques de ransomware
Crear un plan de respuesta a incidentes de ransomware
Impulsado por un acceso más fácil y una mayor rentabilidad financiera, la cantidad de ransomware
Se espera que los ataques se intensifiquen en el futuro. Los delincuentes ahora están centrando sus esfuerzos en
dirigidos a organizaciones de alto perfil, entidades gubernamentales, instituciones educativas y
organizaciones de atención médica, y continuarán estos ataques debido a la capacidad de ser
totalmente anónimo al recibir rescates y debido a la alta tasa de éxito lograda por
dirigido a grandes organizaciones para un pago mayor.
https://translate.googleusercontent.com/translate_f 157/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Un plan de respuesta a incidentes es un conjunto de instrucciones utilizadas por el personal de TI en las organizaciones.
para mitigar, detectar, responder y recuperarse de incidentes de ciberseguridad. El último
El propósito de un plan de respuesta a incidentes es evitar cualquier daño a los sistemas de TI que pueda
conducir a una violación de datos o interrupción del servicio.
El equipo responsable de implementar un plan de respuesta a incidentes se llama
equipo de respuesta a incidentes de seguridad informática (CSIRT). El CSIRT está compuesto por TI
profesionales con capacitación formal en seguridad de TI que son responsables de coordinar
Todos los esfuerzos de manejo de incidentes de ciberseguridad, comenzando desde la comunicación con
diferentes partes dentro de una organización y que contienen el daño, a través de la recuperación
desde incidentes de seguridad hasta la comunicación con partes externas como la prensa, la ley
cumplimiento y otras partes afectadas, como partes interesadas y clientes.
En este capítulo, analizo los elementos principales de un plan de respuesta a incidentes de ransomware
y vea cómo la existencia de dicho plan puede ser de gran ayuda para minimizar el ransomware
dañar y recuperar operaciones normales rápidamente.
203
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_9
Page 215
Figura 9-1. Ciclo de vida de respuesta a incidentes, adoptado de la seguridad informática de NIST
Guía de manejo de incidentes
Preparación
Los elementos de la fase de preparación fueron cubiertos en detalle en la Parte II de este libro. En
preparación, una organización describe los pasos y contramedidas que deben ser
implementado para asegurar su entorno de trabajo (red, aplicaciones, sistemas de TI,
y aspecto humano) de los ataques de ransomware. Esta fase es considerada la más
importante ya que describe principalmente los pasos de mitigación que deben implementarse para
https://translate.googleusercontent.com/translate_f 158/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
SP.800-61r2.pdf
204 204
Page 216
• Capacitación sobre conciencia de seguridad : la capacitación de seguridad para el usuario final ayuda
evitar ataques de ransomware al hacer que los usuarios sepan cuán malicioso
los actores pueden penetrar e infectar los sistemas de TI (por ejemplo, los usuarios deben
entienda cómo funcionan los ataques de phishing por correo electrónico). Comprensión
la anatomía de un ataque de ransomware debe incorporarse a
cualquier programa de capacitación sobre conciencia de seguridad para que los empleados puedan informar
incidentes de ransomware descubiertos una vez para evitar que el ransomware
propagar la infección a otros dispositivos dentro de la red de destino.
• Defensa de dispositivos de punto final : una empresa debe fortalecer el punto final
computadoras y dispositivos móviles (por ejemplo, detener servicios innecesarios
y protocolos, cierre de puertos no utilizados, etc.). Esto también incluye
instalando soluciones antivirus y antimalware, manteniendo el sistema operativo y
aplicaciones actuales, que rigen ejecutables en ejecución en puntos finales,
y realizar otras contramedidas ayudan a hacer que su computación
dispositivo más resistente al ransomware y otras infecciones de malware.
205
Página 217
https://translate.googleusercontent.com/translate_f 159/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
ataque de ransomware) se detecta.
¡Propina! un plan de respuesta a incidentes debe ir acompañado de una recuperación ante desastres
plan para restablecer las operaciones normales rápidamente y cumplir con muchos oficiales
regulaciones (por ejemplo, hipaa).
Detección y Análisis
Los incidentes de ransomware se pueden detectar a través de diferentes medios. Si te encuentras con alguno de
los siguientes signos en su dispositivo informático, entonces hay una alta probabilidad de que
son víctimas de un ataque de ransomware:
206
Page 218
Figura 9-2. Nota de rescate CERBER (archivo HTML) ubicada en el escritorio de la víctima
https://translate.googleusercontent.com/translate_f 160/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
¡Advertencia! a veces un usuario puede descubrir un ataque de ransomware mientras aún está
cifrar archivos y antes de mostrar la nota de rescate. Por ejemplo, cuando un usuario
intenta abrir un archivo y lo encuentra inaccesible y con una extensión de archivo extraña, luego
existe una alta probabilidad de que haya un ataque de ransomware en curso. en eso
caso, el usuario debe apagar la computadora inmediatamente y buscar ayuda del
Es personal de seguridad.
207
Page 219
Contención
Después de que haya identificado que su sistema ha sido infectado con ransomware, usted
debe seguir estos pasos:
208
https://translate.googleusercontent.com/translate_f 161/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Page 220
• Verifique todos los dispositivos conectados por USB, como discos duros externos,
Memorias USB, tarjetas SD, teléfonos inteligentes, tabletas, computadoras portátiles y digitales
cámaras
209
Page 221
Erradicación
Después de contener la infección de ransomware, debe erradicar
ransomware de las máquinas infectadas. La erradicación depende en gran medida de la
vector de ataque que causó la infección del ransomware. Por ejemplo, si el ransomware
ingresa a su entorno a través de un archivo adjunto de correo electrónico, debe purgarlo inmediatamente
todos los correos electrónicos recibidos en el servidor de correo electrónico y evitan que todos los usuarios abran cualquier correo electrónico con
un archivo adjunto hasta que identifique el correo electrónico malicioso. También debe considerar aislar
cualquier sistema, o incluso todo el segmento de red, donde se ha enviado el correo electrónico sospechoso
abierto hasta que verifique que no hay infección de ransomware en esa área.
Si el vector de ataque se introdujo a través de un navegador web (por ejemplo, usando un kit de exploits),
https://translate.googleusercontent.com/translate_f 162/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
entonces debería considerar bloquear el acceso a sitios web maliciosos y realizar un escaneo
en los puntos finales infectados para actualizar o eliminar todos los componentes (por ejemplo, web vulnerable
complementos del navegador y cualquier aplicación desactualizada) utilizados para transportar la infección.
Recuperación
Ahora que se ha identificado el tipo de ransomware y la causa raíz de la infección
claramente, comienza el proceso de recuperación. Tiene cuatro respuestas posibles para seleccionar.
• ¿Tiene una copia de seguridad completa para todas las máquinas afectadas?
• Con qué frecuencia se ejecuta su copia de seguridad (por ejemplo, todas las semanas, todos los días,
cada hora)?
210
Página 222
• ¿Está su sistema / datos de respaldo aislado de los dispositivos de punto final locales para
¿Prevenir la propagación de la infección?
Si tiene buenas respuestas para las preguntas anteriores, puede estar seguro de que
Puede restaurar sus datos infectados desde la copia de seguridad.
¡Nota! el sistema de respaldo puede ser una solución de respaldo interna o en la nube.
¡Advertencia! asegúrese de conectar todos los dispositivos de almacenamiento extraíbles, como UsB
unidades y discos duros externos que contienen datos cifrados antes de ejecutar el
descifrador para asegurarse de que sus datos también se descifren.
Pagar el rescate
https://translate.googleusercontent.com/translate_f 163/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Esta opción debe considerarse cuidadosamente, como se cubre en el Capítulo 7 . Asegurate que
realice una evaluación del valor de los datos infectados para determinar su importancia para su
negocio. También debe calcular los costos de tiempo de inactividad asociados con el ataque.
¡Hacer nada!
Limpie los sistemas infectados e instale un SO y aplicaciones nuevos. Asegúrate de tener un
copia de seguridad de los datos infectados (cifrados) en caso de que alguien desarrolle un descifrador en el futuro.
211
Página 223
• Mejorar cualquier atajo en la capacitación de ciberseguridad de los usuarios finales para hacer
capaces de reaccionar adecuadamente a un ataque de ransomware
Resumen
Los ataques cibernéticos son inevitables, y las amenazas de ransomware son una amenaza significativa para
empresas y particulares por igual. Cada organización puede responder a los ataques de ransomware
diferentemente. La respuesta de una organización determina su capacidad para restablecer su funcionamiento.
rápidamente y para responder a diferentes demandas legales y regulatorias impuestas por tales ataques.
Aquí hay un breve resumen de las medidas clave que debe tomar en el caso de un
ataque de ransomware:
212
Página 224
https://translate.googleusercontent.com/translate_f 164/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Índice
UN si
Amenaza persistente avanzada (APT), 131, 164 Puertas traseras, 12
Adware, 11 Estrategia de respaldo y recuperación, 148
Virus troyano / PC Cyborg del SIDA, 4 Bitcoin, 179
Métodos de pago anónimos. Botnets, 42
autoridades, 187, 188
Bitcoin
Cajero automático, 183 C
efectivo, 183 Cerber, 52
sistema de efectivo digital, 179 extensión de archivo, 52
abrir una cuenta 180– 182 aviso, 54
la transacción de pago funciona, 185, 186 trabajo fuera de línea, 52
tajetas prepagadas, 183 aviso de pago, 54
enviando el pago, 184 Malware informático
elegir pagar o no pagar adware 11
rescate, 188, 189 puertas traseras, 12
criptomoneda 179 componentes
tarjetas de regalo prepagas, 186 blindaje, 17
Producto anti-ransomware, 121 Centro de C&C, 17
Técnicas de detección de antivirus. ofuscador / empacadores, 15
análisis de comportamiento, 73 carga útil, 14
detección basada en la nube, 74 persistencia, 15, 16
características, 75 sigilo, 16
detección heurística, 74 criptojacking, 10
detección de caja de arena, 74 DDoS, 13
detección basada en firma, 73 descargadores, 12
AppLocker, 138 funciones, 13
Técnica de armadura, 17 Secuestro de datos, 10
archivo autorun.inf, 100 rootkit, 12
213
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1
Page 225
ÍNDICE
https://translate.googleusercontent.com/translate_f 165/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
versión, 64, 65 métodos, 131
CrypXXX métodos de filtrado de spam, 132– 134
Instrucciones de pago, 62 E-mail spoofing, 32
versión 62, 63 Seguridad de punto final, 71
Gestión de la relación con el cliente EternoAzul, 51, 57
(CRM), 131, 159 EternoRomance, 57
Inteligencia de ciberamenazas , 198 Explotar kits, 84
componentes, 36
partes, 35
re
darknet, 64
Política de clasificación de datos, 135, 136 F
DataKeeper, 39 Extensiones de archivos, 92
Prevención de pérdida de datos (DLP), 71, 149, 150 Encabezado de firma de archivo, 60, 61
Desinfección de datos, 147 Firefox
Estrategia de defensa en profundidad (DiD), 116, 164 bloque de descarga, 81
Tipos de chantaje digital advertencia engañosa del sitio, 82
Extorsión DDoS, 20 desactivar ventanas emergentes, 81
scareware 19, 20 Habilitar phishing y malware
Denegación de servicio distribuida (DDoS), 13 proteccion, 82
DMA Locker FortiGuard, 150
teclas de ejecución automática, 61 Actualizadores de software gratuitos, 77
214
Página 226
ÍNDICE
sol infección, 56
técnica, 55
GPCoder, 5
Cuenta de usuario con privilegios bajos, 86
H
Portabilidad del seguro de salud y
METRO
Ley de responsabilidad (HIPAA), 26, 157 Publicidad maliciosa / publicidad maliciosa
Hermes ransomware, 47 trabajando, 34
Honeypots 129, 130 Proveedor de servicios gestionados (MSP), 42
Sistema de detección de intrusos basado en host Registro maestro de arranque (MBR), 56
(HIDS) 125 Tabla maestra de archivos (MFT), 56
Macros de Microsoft Office, 38, 84
Mischa, 57
yo Dispositivos móviles, defensa, 93
Infraestructura como servicio (IaaS), 39
Organización internacional para
Estandarización (ISO), 122 norte
Sistemas de detección de intrusiones (IDS), 42, 125 Agencia de Seguridad Nacional (NSA), 51
Sistemas de prevención de intrusiones Autenticación de nivel de red (NLA), 103
(IPS), 125, 158 Línea de base de rendimiento de red, 130, 131
Sandboxing de red, 127
Segmentación de red, 120, 121
J Cortafuegos de próxima generación (NGFW), 123, 124
Java Runtime Environment (JRE), 76 NotPetya, 56, 57
K O
Kazi 57 Inteligencia de código abierto (OSINT), 173
L P, Q
Cuentas con menos privilegios, 122 Requisitos de contraseña, 136, 137
Política de grupo local Gestión de parches
https://translate.googleusercontent.com/translate_f 166/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
AutoRun, 102 definición, 116
SRP, 107 política, 117, 118
Locker ransomware, 18 años herramientas, 118
Locky 55 Seguridad de datos de la industria de tarjetas de pago
daño, 55 Estándar (PCI-DSS), 157
215
Página 227
ÍNDICE
216
Página 228
ÍNDICE
217
Página 229
ÍNDICE
V SRP, 107
UAC 89, 90
Tecnología de virtualización, 77
Windows AppLocker
Visual Basic para Aplicaciones (VBA)
configuración
lenguaje de programación, 38, 84
Servicio de identidad de la aplicación, 145
Servicio de instantáneas de volumen
reglas predeterminadas, 144
(VSS), 51, 96–98
Reglas ejecutables, 141
Gestión de vulnerabilidades
Preferencias de reglas, 142, 143
definición, 122
Ventanas 10, 139
herramientas de escaneo, 123
mejoras, 138
etapas, 122
reglas, 139
Configuración de Windows, 76
Función de ejecución automática, 100
W, X, Y
comandos, 103
Quiero llorar, aviso, 50
editor de políticas de grupo local, 101, 102
Ataque de pozo de agua, 34
extensiones de archivo, 99
navegadores web
Política de grupo de Windows, 101
complementos, 83
Windows Script Host (WSH)
tecnología de sandboxing, 78
Tecla DWORD, 85
https://translate.googleusercontent.com/translate_f 168/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Aplicación Shade Sandbox, 79 funcionalidad, 85
WEBGAP 80
riesgos de seguridad, 85
bloque de página web ( ver Firefox)
VBS script, 86
Phishing de ballenas, 32
Actualización de Windows, 76
Wicar 150
Extensión .WNCRY, 51
Ventanas 10
cambio de tipo de cuenta, 88
copias de seguridad, 94, 95 Z
creación de nuevos usuarios, 87 Vulnerabilidades de día cero, 43
218
https://translate.googleusercontent.com/translate_f 169/169